kubernetes安全框架
访问K8S集群的资源需要过三关:认证、鉴权、准入控制,任意一个不通过都会失败
普通用户若要安全访问集群API server,往往需要证书、token或者用户名+密码,pod访问需要ServiceAccout
K8S安全控制框架主要由下面三个阶段进行控制,每个阶段都支持插件方式,通过API server配置来启用插件
1、Authentication(鉴权) 2、Authorization (授权) 3、Admission Control (准入控制)
1、鉴权(Authentication)
三种客户端身份认证:
https证书认证:基于CA证书签名的数字证书认证 http token认证:通过一个token来识别用户 http base认证:用户名+密码的方式认证(基本不用,安全系数低)
2、授权(Authorization)
RBAC(Role-Based Access Control基于角色的访问控制):复制完成授权(Authorization)工作
根据API请求属性,决定允许还是拒绝
user:用户 group:用户分组 extra:用户额外信息 API 请求路径:例如/api,/healthz API请求方法:get、list、create、update、patch、delete http请求方法:get、post、put、delete 资源 子资源 命名空间 API组
3、准入控制(Admission Control)
Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求
进入到容器中查看启用和禁用的
kubectl exec -it kube-apiserver-k8s-master sh -n kube-system
kube-apiserver | grep admin
基于角色的权限访问控制:RBAC
RBAC(Role-Based Access Control基于角色的访问控制),允许通过kubernetes API动态配置策略
角色
Role:授权特定命名空间的访问权限 ClusterRole:权限所有命名空间的访问权限
角色绑定
RoleBinding:将角色绑定到主体(即subject) ClusterRolebinding:将集群角色绑定到主体
主体(subject)
User:用户 Group:用户组 ServiceAccount:服务账号
例子:指定用户授权访问不同命名空间权限
示例:为fage用户授权default命名空间pod读取权限
1、用K8S CA签发客户端证书 2、生成kubeconfig授权文件 3、创建RBAC权限策略
1、生成CA签发的证书,需要K8S内的CA证书
[root@k8s-master ~]# mkdir ssl && cd ssl
[root@k8s-master ssl]# cat cert.sh
cat > ca-config.json <<EOF
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "87600h"
}
}
}
}
EOF
cat > fage-csr.json <<EOF
{
"CN": "fage", #用户名,根据客户端证书里包含的user、group确认一个用户
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s", #用户组
"OU": "System"
}
]
}
EOF
#生成客户端证书
cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes fage-csr.json | cfssljson -bare aliang
[root@k8s-master ssl]# bash cert.sh
[root@k8s-master ssl]# ls | grep "fage*"
fage.csr
fage-csr.json
fage-key.pem
fage.pem
[root@k8s-master ssl]#
2、生成用户认证文件
[root@k8s-master ssl]# cat kubeconfig.sh
kubectl config set-cluster kubernetes --certificate-authority=/etc/kubernetes/pki/ca.crt #指定ca根证书 --embed-certs=true --server=https://192.168.10.10:6443 #集群地址 --kubeconfig=fage.kubeconfig #生成文件的文件名 # 设置客户端认证 kubectl config set-credentials fage --client-key=fage-key.pem #指定CA颁发的用户证书 --client-certificate=fage.pem --embed-certs=true #生成为配置文件,true为是false则不写入 --kubeconfig=fage.kubeconfig #生成用户的认证文件 # 设置默认上下文 kubectl config set-context kubernetes --cluster=kubernetes --user=fage #只是标识没有实际的意义。 --kubeconfig=fage.kubeconfig #生成用户的认证文件 # 设置当前使用配置 kubectl config use-context kubernetes --kubeconfig=fage.kubeconfig
[root@k8s-master ssl]# bash kubeconfig.sh
3、指定命名空间授权
[root@k8s-master ssl]# cat rbac.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: #权限控制位置 - apiGroups: [""] #要加deployments需要在这个位置加上"apps" resources: ["pods","services","deployments"] verbs: ["get", "watch", "list"] --- kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: read-pods namespace: default subjects: - kind: User name: fage apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io
[root@k8s-master ssl]#
如果修改权限后重新生效文件即可
kubectl apply -f rbac.yaml
复制生成的文件到节点上去验证,或者给使用的同事
scp /root/fage.kubeconfig root@192.168.10.112:/root/.kube/config
网络策略
网络策略(Network Policy)用于现在pod出入流量,提供pod级别和namespace级别网络访问控制。一些应用场景
应用程序之间访问控制,如微服务A允许访问微服务B,微服务C不能访问微服务A 开发环境命名空间不能访问测试环境命名空间pod 当pod暴露到外部时,需要做pod白名单 多租户网络环境隔离
pod网络入口方向隔离
基于pod级网络隔离:值允许特点对象访问pod(使用标签定义),允许白名单上的IP地址或者IP段访问pod 基于namespace级网络隔离:多个命名空间,A和B命名空间的pod完全隔离
pod网络出口方向
拒绝某个namespace上所有pod访问外部 基于目的IP的网络隔离:只允许pod访问白名单上的IP地址或IP段 基于目标端口的网络隔离:只允许pod访问白名单上的端口
网络概述案例参考地址:
https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/
字段含义
podSelector:目标pod,根据标签选择 policyType:策略类型,知道策略用于入栈、出站流量 ingress: from 是可以访问的白名单,可以来自于IP段、命名空间、pod标签等,ports是可以访问的端口 egress: 这个pod组可以访问外部的IP段和端口
实例:
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: #将策略应用到那个对象中 matchLabels: role: db policyTypes: #应用到出口还是入口,这里出入都应用了 - Ingress - Egress ingress: #这里的ingress代表是入口,下面是策略明细 - from: - ipBlock: cidr: 172.17.0.0/16 #允许访问的访问的网段 except: - 172.17.1.0/24 #允许网段中除了这个网段不能访问 - namespaceSelector: #允许访问的命名空间 matchLabels: project: myproject - podSelector: #那些pod可以访问 matchLabels: role: frontend ports: #允许访问的端口 - protocol: TCP port: 6379 egress: #这里egress代表出口 - to: - ipBlock: cidr: 10.0.0.0/24 ports: - protocol: TCP port: 5978
案例:项目pod出入流量访问控制
需求1
将default命名空间写到run=web标签的pod隔离,只允许default命名空间携带run=client1标签的pod访问80端口
vim network-policy.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: test-network-policy
namespace: default
spec:
posSelector:
matchLabels:
app: web
policyTypes:
- Ingress
ingress:
- from:
# - namespaceSelector:
# matchLabels:
# project: default
- podSelector:
matchLabels:
run: client1
ports:
- protocol: TCP
port: 80
生效配置
kubectl apply -f network-policy.yaml
需求2
default命名空间下所有pod可以互相访问,也可以访问其他命名空间Pod,但其他命名空间不能访问default命名空间pod
cat network-policy.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name:deny-from-other-namespaces
namespace: default
spec:
podSelector: {}
policyTypes:
- Ingress
ingress:
- from:
- podSelector: {}