千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

如何配置Kubernetes集群安全

发表于:2025-01-23 作者:千家信息网编辑
千家信息网最后更新 2025年01月23日,这篇文章将为大家详细讲解有关如何配置Kubernetes集群安全,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。这两天在梳理Kubernetes集群的安全配置,涉及到
千家信息网最后更新 2025年01月23日如何配置Kubernetes集群安全

这篇文章将为大家详细讲解有关如何配置Kubernetes集群安全,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。

这两天在梳理Kubernetes集群的安全配置,涉及到各个组件的配置,最终决定画一个图来展现,应该会更清晰。

涉及以下配置:

  1. 其他各个组件作为client,访问kube-apiserver时,各个组件的配置,参考图中黑色线条对应的配置:

    - **kube-apiserver**    ```


    --secure-port=443 --client_ca_file=/var/run/kubernetes/dd_ca.crt --tls-private-key-file=/var/run/kubernetes/dd_server.key ```

    • kube-controller-manager

        ```  --kubeconfig=/etc/kubernetes/cmkubeconfig  apiVersion: v1  kind: Config  users  - name: controllermanager    user:      client-certificate: /var/run/kubernetes/dd_cs_client.crt      client-key: /var/run/kubernetes/dd_cs_client.key  clusters:  - name: local    cluster:      certificate-authority: /var/run/kubernetes/dd_ca.crt  contexts:  - context:      cluster: local      user: controllermanager    name: my-context  current-context: my-context  ```


    • kube-scheduler kube-scheduler访问apiserver的安全配置同kube-controller-manager。

    • kubelet

         --kubeconfig=/var/lib/kubelet/kubeconfig        apiVersion: v1        kind: Config        users:        - name: kubelet          user:            client-certificats: /home/dd_kubelet_client.crt            client-key: /home/dd_kubelet_client.key        clusters:        - name: local          cluster:            certificate-authority: /home/dd_ca.crt        contexts:        - context:            cluster: local            user: kubelet          name: my-context        current-context: my-context


    • kube-proxy

            --kubeconfig=/var/lib/kubeproxy/proxykubeconfig         apiVersion: v1        kind: Config        users:        - name: kubeproxy          user:            client-certificate: /home/dd_kubelet_client.crt            client-key: /home/dd_kubelet_client.key        clusters:        - name: local          cluster:            certificate-authority: /home/dd_ca.crt        contexts:        - context:            cluster: local            user: kubeproxy          name: my-context        current-context: my-context


  2. kube-apiserver作为client,访问kubelet server时的配置,参考图中绿色线条对应的配置:

    • kube-apiserver

      --kubelet-https--kubelet-certificate-authority=/var/run/kubelet/kubelet-ca.crt  --kubelet-client-certificate=/var/run/kubelet/apiserver-kubelet.crt--kubelet-client-key=/var/run/kubelet/apiserver-kubelet.key


    • kubelet

      --client-ca-file=/var/run/kubelet/kubelet_ca.crt--tls-private-key-file=/var/run/kubelet/server.key--tls-cert-file string=/var/run/kubelet/server.crt


  3. Pod访问kube-apiserver,是通过ServiceAccount来提供Token的, 涉及的配置见粉红色线条对应的内容。

    每个namespace都有一个default ServiceAccount。如果Pod.Spec.serivceAccountName未设置,这默认用default ServiceAccount。上图中的配置中,给Pod指明了一个自定义的Pod.Spec.serivceAccountName:build-rebotautomountServiceAccountToken: true表示自动将该ServiceAccount中的Secret定义的token,ca.crt,namespace挂载到Pod每个container内的以下对应目录:

    ServiceAccount Admission Make Sure Secret Volume Mounted:


    • Pod.Spec

/var/run/secrets/kubernetes.io/serviceaccount/token /var/run/secrets/kubernetes.io/serviceaccount/ca.crt /var/run/secrets/kubernetes.io/serviceaccount/namespace ```

- **kube-controller-manager**    ```    --root-ca-file=/var/run/kubernetes/dd_ca.crt     --service-account-private-key-file=/var/run/kubernetes/dd_server.key    ```

这样Pod内的应用就能通过以下两种方式访问apiserver了:

- 添加kubectl proxy container,示例见[kubectl-container](https://github.com/kubernetes/kubernetes/tree/master/examples/kubectl-container/)- use the Go client library, and create a client using the rest.InClusterConfig() and kubernetes.NewForConfig() functions. They handle locating and authenticating to the apiserver. [example](https://github.com/kubernetes/client-go/blob/master/examples/in-cluster/main.go)

4. kube-apiserver作为client,通过TLS访问etcd对应的配置见图中蓝色线条对应的内容。

- **kube-apiserver**    ```    --kubelet-https    --kubelet-certificate-authority=/var/run/kubelet/etcd-ca.crt      --kubelet-client-certificate=/var/run/kubelet/etcd-kubelet.crt    --kubelet-client-key=/var/run/kubelet/etcd-kubelet.key    ```- **etcd**    ```    --client-cert-auth     --trusted-ca-file=/etc/ssl/etcd/etcd-ca.crt     --cert-file=/etc/ssl/etcd/server.crt     --key-file=/etc/ssl/etcd/server.key    ```

  1. apiserver的Authentication Config:

    其中token-auth-file对应文件内容格式为:

     ``` token1,user1,uid1,"group1,group2,group3" token2,user2,uid2,"group1,group2" ```


    basic-auth-file对应文件内容格式为:

     ``` password1,user1,uid1,"group1,group2,group3" password2,user2,uid2,"group1,group2,group3" ```


    • kube-apiserver 以下三个flag,分别表示enable apiserver的x509 client certs, static token, static password三种认证方式。

      --client-ca-file=/var/run/kubernetes/dd_ca.crt    --token-auth-file=SOMEFILE  --basic-auth-file=SOMEFILE


  2. apiserver的Authorization Config:

    • kube-apiserver 当前我们的环境中,使用默认值AlwaysAllow,如果有需要,后续会考虑enable RBAC

      --authorization-mode=AlwaysAllow


  3. apiserver的Admission Control Config:

    • kube-apiserver 使用官方推荐的,v1.6+之后的配置为:

      --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota,DefaultTolerationSeconds


关于"如何配置Kubernetes集群安全"这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。

很赞哦!
配置 内容 安全 线条 集群 篇文章 组件 图中 参考 文件 方式 更多 格式 不错 实用 三个 上图 官方 文章 明了 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 传统软件开发有哪些缺点 c 创建数据库代码 我的世界开启不了服务器 广州云软件开发公司电话 数据库安全技术里面go 大量图片适合用什么数据库 计算机网络技术案例教程 db2数据库备份文件路径 武汉网络安全等级测评公司 数据库安全内涵 网络安全总体设计课设 显示mysql数据库字符类型 网络安全大检查反思 数据库 离散数学 电子屏系统网络安全承诺书 什么是公安y数据库 网络安全整改回函 网络安全法共7章 解决网络安全专业人才匮乏 单位 信息网络安全制度 网络安全的专业书籍 捍生互联网科技 购买软件开发代码怎么做账 广州手机软件开发需要多少钱 歌尔的软件开发工程师岗位 app软件开发薪资 国家为支持发展网络安全工作 数据库和数据库表的关系 对铁路网络安全的建议 软件开发完成后移交书

相关文章

0