当前位置：首页 > news >正文

k8s-----17、集群安全机制

news 2025/9/18 18:11:31

1、集群安全机制概述

1.1 访问k8s的三个步骤

1、认证
2、鉴权(授权)
3、准入控制
进行访问的时候，过程中都需要经过apiserver，apiserver做统一协调，比如门卫。且访问过程中需要证书、token、或者用户名+密码。如果需要访问pod，需要serviceAccount。

1.2 认证

传输安全：对外不会暴露8080端口，只能内部访问。对外使用端口6443
认证：客户端身份认证的常用方式有三种： 1>https证书认证，基于ca证书。2> http+token认证，通过token识别用户。3>http基本认证，用户名+密码（不常用，前两种更安全）

1.3 鉴权

基于RBAC进行鉴权操作
基于角色进行访问控制

1.4 准入控制

就是准入控制器的列表，如果该列表有请求内容，通过。没有则拒绝。

2、RBAC（基于角色的访问控制）

在这里插入图片描述

2.1 角色

Role，特定命名空间具体操作。 ClusterRole，所有命名空间访问权限

[root@master ~]# kubectl  get ns  # 查看命名空间
[root@master ~]# kubectl create ns role
namespace/role created
[root@master ~]# kubectl  get ns
NAME              STATUS   AGE
default           Active   63d
kube-node-lease   Active   63d
kube-public       Active   63d
kube-system       Active   63d
role              Active   3s
[root@master ~]# kubectl delete ns role 
namespace "role" deleted

2.2 角色绑定

roleBinding: 将角色绑定到主体上
ClusterroleBinding: 将集群角色绑定到主体

2.3 主体

user ：用户
group: 用户组
serviceAcoount: 服务账号。用于pod访问

3、RBAC实现鉴权

3.1 生成证书文件

#下载并使用cfssl证书生成工具
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 
chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64 
mv cfssl_linux-amd64 /usr/local/bin/cfssl 
mv cfssljson_linux-amd64 /usr/local/bin/cfssljson 
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo# 生成自签证书
[root@master mary]# cat ca-config.json 
{"signing": {"default": {"expiry": "87600h"},"profiles": {"kubernetes": {"expiry": "87600h","usages": ["signing","key encipherment","server auth","client auth"]}}}
}
[root@master mary]# cat ca-csr.json 
{"CN": "kubernetes","key": {"algo": "rsa","size": 2048},"names": [{"C": "CN","L": "Beijing","ST": "Beijing","O": "k8s","OU": "System"}]
}
[root@master mary]# cfssl gencert -initca ca-csr.json | cfssljson -bare ca -  #生成自签证书
2022/05/13 13:47:19 [INFO] generating a new CA key and certificate from CSR
2022/05/13 13:47:19 [INFO] generate received request
2022/05/13 13:47:19 [INFO] received CSR
2022/05/13 13:47:19 [INFO] generating key: rsa-2048
2022/05/13 13:47:19 [INFO] encoded CSR
2022/05/13 13:47:19 [INFO] signed certificate with serial number 533587145625742162082018478504710590695605538243
[root@master mary]# ls
ca-config.json  ca.csr  ca-csr.json  ca-key.pem  ca.pem  mary-csr.json  rabc-user.sh

3.2 创建命名空间和对应得pod

[root@master ~]# kubectl create ns roledemo
namespace/roledemo created[root@master ~]# kubectl get ns
NAME              STATUS   AGE
roledemo          Active   3s[root@master ~]# kubectl run nginx --image=nginx -n roledemo 
pod/nginx created
[root@master ~]# kubectl get pod -n roledemo 
NAME    READY   STATUS    RESTARTS   AGE
nginx   1/1     Running   0          36s

3.3 创建角色

[root@master Roledemo]# vim rbac-role.yaml
[root@master Roledemo]# cat rbac-role.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:namespace: roledemoname: pod-reader
rules:
- apiGroups: [""]                  #组resources: ["pods"]              #资源verbs: ["get","watch","list"]    #角色权限[root@master Roledemo]# kubectl apply -f rbac-role.yaml 
role.rbac.authorization.k8s.io/pod-reader created[root@master Roledemo]# kubectl get role -n roledemo 
NAME         CREATED AT
pod-reader   2022-05-13T04:13:46Z

3.4 创建角色绑定

[root@master Roledemo]# vim rbac-rolebinding.yaml
[root@master Roledemo]# cat rbac-rolebinding.yaml 
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata: name: read-podsnamespace: roledemo
subjects: 
- kind: Username: mary # Name is case sensitiveapiGroup: rbac.authorization.k8s.io
roleRef:kind: Role #this must be Role or ClusterRolename: pod-reader # this must match the name of the Role or ClusterRole you wish to bind toapiGroup: rbac.authorization.k8s.io[root@master Roledemo]# kubectl apply -f rbac-rolebinding.yaml 
rolebinding.rbac.authorization.k8s.io/read-pods created
[root@master Roledemo]# kubectl get role,rolebinding -n roledemo    #查看角色和角色绑定
NAME                                        CREATED AT
role.rbac.authorization.k8s.io/pod-reader   2022-05-13T04:13:46ZNAME                                              ROLE              AGE
rolebinding.rbac.authorization.k8s.io/read-pods   Role/pod-reader   25s

3.5 使用证书识别身份


[root@master ~]# mkdir mary         #充当用户文件夹
[root@master ~]# cd mary/   #目录下需要所有的ca文件
[root@master mary]# cat mary-csr.json 
{"CN": "mary","hosts": [],"key": {"algo": "rsa","size": 2048},"names": [{"C": "CN","L": "BeiJing","ST": "BeiJing"}]
}[root@master mary]# vim rabc-user.sh   ##rbac鉴权文件
[root@master mary]# cat rabc-user.sh 
cat > mary-csr.json <<EOF
{"CN": "mary","hosts": [],"key": {"algo": "rsa","size": 2048},"names": [{"C": "CN","L": "BeiJing","ST": "BeiJing"}]
}
EOFcfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes mary-csr.json | cfssljson -bare mary kubectl config set-cluster kubernetes \--certificate-authority=ca.pem \--embed-certs=true \--server=https://192.168.172.128:6443 \--kubeconfig=mary-kubeconfigkubectl config set-credentials mary \--client-key=mary-key.pem \--client-certificate=mary.pem \--embed-certs=true \--kubeconfig=mary-kubeconfigkubectl config set-context default \--cluster=kubernetes \--user=mary \--kubeconfig=mary-kubeconfigkubectl config use-context default --kubeconfig=mary-kubeconfig## 执行
[root@master mary]# bash rabc-user.sh 
2022/05/13 13:53:26 [INFO] generate received request
2022/05/13 13:53:26 [INFO] received CSR
2022/05/13 13:53:26 [INFO] generating key: rsa-2048
2022/05/13 13:53:26 [INFO] encoded CSR
2022/05/13 13:53:26 [INFO] signed certificate with serial number 697056282839922252602077574108282807182420364565
2022/05/13 13:53:26 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements").
Cluster "kubernetes" set.
User "mary" set.
Context "default" created.
Switched to context "default".
[root@master mary]# ls   ##生成了mary-kubeconfig文件
ca-config.json  ca-csr.json  ca.pem    mary-csr.json  mary-kubeconfig  rabc-user.sh
ca.csr          ca-key.pem   mary.csr  mary-key.pem   mary.pem[root@master mary]# cat mary-kubeconfig  ##里面是证书内容

3.6测试

#只有查看pod得权限，所以查看svc是没有任何东西的(不对)   #应该是这里只是使用了文件夹模拟，所以出错。需要真实得用户
[root@master mary]# kubectl get pod -n roledemo 
NAME    READY   STATUS    RESTARTS   AGE
nginx   1/1     Running   0          140m
[root@master mary]#  kubectl create  service clusterip test --clusterip="None" -n roledemo# 创建svc测试
[root@master mary]# kubectl get svc -n roledemo   # 但是不对
NAME   TYPE        CLUSTER-IP   EXTERNAL-IP   PORT(S)   AGE
test   ClusterIP   None         <none>        <none>    25m

k8s-----17、集群安全机制

1、集群安全机制概述 1.1 访问k8s的三个步骤 1、认证 2、鉴权(授权) 3、准入控制进行访问的时候，过程中都需要经过apiserver，apiserver做统一协调，比如门卫。且访问过程中需要证书、token、或者用户名密码。如果需要访问pod，…...

编程日记 2023/10/25 20:50:35

蓝桥算法赛（铺地板）

问题描述小蓝家要装修了，小蓝爸爸买来了很多块（你可以理解为数量无限） 23 规格的地砖，小蓝家的地板是 nm 规格的，小蓝想问你，能否用这些 23 的地砖铺满地板。铺满地板：对于地板的每个区域&…...

编程日记 2023/10/25 20:48:31

浅谈AcrelEMS-GYM文体建筑能效管理解决方案-安科瑞蒋静

1 概述 AcrelEMS-CA 文体建筑能效管理聚焦建筑的能量和信息的流向搭建平台解决方案。该系统解决方案集变电站综合自动化、电力监控、电能质量分析及治理、电气安全、能耗分析、照明控制、设备运维于一体。打破子系统孤立，配置方便，运维便捷；…...

编程日记 2023/10/25 20:47:29

在LayerUI中使用onChange事件监听复选框的值变化

在LayerUI中，你可以使用onChange事件监听复选框的值变化。当复选框的状态发生变化时，onChange事件会被触发。以下是一个示例代码，演示了如何使用onChange事件监听复选框的值变化： jsx import React from react; import { Chec…...

编程日记 2023/10/25 20:46:28

决策树--ID3算法

决策树–ID3算法概念 （1）信息熵 E n t r o p y ( x ) − ∑ i N c l a s s P ( x i ) l o g 2 P ( x i ) Entropy(x) -\sum_{i}^{N_{class}}P(x_i)log_2 P(x_i) Entropy(x)−i∑NclassP(xi)log2P(xi) 假设只有2个类别（N2&…...

编程日记 2023/10/25 20:45:27

VSCode运行python提示No module name ‘xxx‘

在进行from * import *导入操作时，编辑器能够解析到module, 但是在编辑器中运行时确提示。 No module name xxx 而且单独运行该文件，或在其他编辑器、或terminal中python file运行，都能正常导入module. 解决方案： 在vscode的用…...

编程日记 2023/10/25 20:43:25

【网安大模型专题10.19】※论文5：ChatGPT+漏洞定位+补丁生成+补丁验证+APR方法+ChatRepair+不同修复场景+修复效果（韦恩图展示）

Keep the Conversation Going: Fixing 162 out of 337 bugs for $0.42 each using ChatGPT 写在最前面背景介绍自动程序修复流程Process of APR (automated program repair)1、漏洞程序2、漏洞定位模块3、补丁生成4、补丁验证 （可以学习的PPT设计）经典的…...

编程日记 2023/10/25 20:42:23

C盘满了怎么清理文件？

电脑的C盘是我们电脑存储系统文件和应用程序的一个重要盘符，很多人经常会遇到C盘空间不足的问题；虽然我们可以通过卸载程序或者删除文件来释放空间，但是在这个过程中往往会误删掉一些重要的文件，造成部分程序可能无法正常使用。因…...

编程日记 2023/10/25 20:41:22

pytest方法间变量值传递--request夹具

相当于self对象，因为调试的时候测试用例是类似沙箱的单步运行，所以self对象的属性被阻挡在沙箱外边。 request.cls 是pytest中的一个属性，它允许您在测试类中共享数据或属性。当您使用pytest编写测试类时，request 夹具允许您在测…...

编程日记 2023/10/25 20:40:22

Linux 内核定时器（高级字符设备五）

一、Linux 内核定时器介绍在 Linux 内核中很多函数是基于定时器进行驱动的，但是内核定时器的精度并不高，所以不能作为高精度定时器使用。并且内核定时器的运行没有周期性，到达计时终点后会自动关闭。如果要实现周期性定时，就要在…...

编程日记 2023/10/25 20:39:21

「快学Docker」Docker镜像和容器的创建与管理

「快学Docker」Docker镜像和容器的创建与管理引言什么是Docker镜像？镜像获取和使用镜像获取镜像使用什么是Docker容器？Docker容器与主机之间的交互基于Dockerfile创建镜像基于镜像创建容器总结引言 Docker镜像和容器是当今云计算领域中最受欢迎的技术…...

编程日记 2023/10/25 20:38:20

Zabbix出现 404Not FoundThe requested URL /zabbix was not found on this server.

目录一、问题： 二、原因： 三、解决方法： 一、问题： Not Found The requested URL /zabbix was not found on this server. 二、原因： 未找到在此服务器上找不到请求的 URL /zabbix。 /etc/httpd/conf.d 目录…...

编程日记 2023/10/25 20:37:18

【STM32】标准库的引入

一、为什么要会有标志外设库 1、传统单片机软件开发方式 (1)芯片厂商提供数据手册、示例代码、开发环境 (2)单片机软件工程师面向产品功能，查阅数据手册，参考官方示例代码进行开发 (3)硬件操作的方式是用C语言对寄存器进行读写以操作硬件 (4)主要工作量…...

编程日记 2023/10/25 20:36:17

Redis的淘汰策略

Redis是一种基于内存的高性能键值存储数据库，由于内存资源有限，当Redis中的数据量增大时，会导致内存占用过多，可能会影响系统的性能和稳定性。为了解决这个问题，Redis提供了一些淘汰策略来自动清理不再使用的key&#…...

编程日记 2023/10/25 20:35:16

Linux友人帐之日志与备份

一、日志 1.1概述日志文件是重要的系统信息文件，其中记录了许多重要的系统事件，包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。日志对于安全来说也很重要，它记录了系统每天发生的各种事情&#…...

编程日记 2023/10/25 20:34:15

git中如何在父仓库提交子仓库的修改

子仓库在父仓库中进行了修改，你需要按照以下步骤提交子仓库的修改： 切换到子仓库目录：使用cd命令进入子仓库所在的目录。拉取子仓库的最新更改：使用git pull命令拉取子仓库的最新更改，确保你的本地是最新的版本。提交…...

编程日记 2023/10/25 20:33:14

【【萌新的SOC学习之SD卡DMA回路读写大数据的实验】】

萌新的SOC学习之SD卡读写大数据的实验记得先设定 FIFO 的位宽和深度还有DMA 的大小其他基本结构设计参照上一个SD卡读写小数据的实验 #include "xparameters.h" //包含vivado所导出的信息包含vivado的基地址 #include "xil_printf.h" //调用打印函…...

编程日记 2023/10/25 20:32:13

在k8s中，数据包是怎么从外部流转进入到pod的？

在 Kubernetes 中，当您创建 NodePort 类型的服务时，流量不会直接从主机的 IP 和端口转发到特定 Pod 的 IP 和端口。相反，流量被转发到集群中的一个节点，然后从那里转发到相应的 Pod。 1、当您创建 NodePort 类型的服务时&#xf…...

编程日记 2023/10/25 20:31:12

微信小程序设置 wx.showModal 提示框中确定和取消按钮的颜色

wx官方提供的 showModal 无疑是个非常优秀的选择提示工具但是我们还可以让他的颜色更贴近整体的小程序风格 cancelColor 可以改变取消按钮的颜色 confirmColor 则可以控制确定按钮的颜色参考代码如下 wx.showModal({cancelColor: #0000FF,confirmColor: #45B250,content:…...

编程日记 2023/10/25 20:30:11

1、泄露代码示例 void X::SetApplicationBtn() {CMFCRibbonApplicationButton* pBtn GetApplicationButton();// 获取 Ribbon Bar 指针// 创建自定义按钮CCustomRibbonAppButton* pCustomButton new CCustomRibbonAppButton();pCustomButton->SetImage(IDB_BITMAP_Jdp26)…...

编程新知 2025/9/13 17:44:01

IGP（Interior Gateway Protocol，内部网关协议）

IGP（Interior Gateway Protocol，内部网关协议） 是一种用于在一个自治系统（AS）内部传递路由信息的路由协议，主要用于在一个组织或机构的内部网络中决定数据包的最佳路径。与用于自治系统之间通信的 EGP&…...

编程新知 2025/7/28 19:57:25

【SpringBoot】100、SpringBoot中使用自定义注解+AOP实现参数自动解密

在实际项目中，用户注册、登录、修改密码等操作，都涉及到参数传输安全问题。所以我们需要在前端对账户、密码等敏感信息加密传输，在后端接收到数据后能自动解密。 1、引入依赖 <dependency><groupId>org.springframework.boot</groupId><artifactId...

编程新知 2025/9/14 23:47:44