如何为K8S生产系统配置安全管理
这篇文章将为大家详细讲解有关如何为K8S生产系统配置安全管理,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。
1. 同一命名空间中的用户可以受到其角色的限制,比如他们可以具有读、写、管理员或其他定义的访问权限。
2. 用户可以通过Token自动进行身份验证,这样审计请求的授权就可以针对特定命名空间来进行。
3. 可以将用户置于基于租户的命名空间中,从而为访问PVCs提供安全的多租户。
4. 即使用户看到存储类,也不意味着他们被授权创建PVC。
5. 将Portworx RBAC与加密一起使用,意味着数据在host上是安全的,命名空间内的非授权用户不能访问数据。
6. 如果一个请求来自Kubernetes外部而没有Token,它将被阻止。
首先,Portworx通过使用Token支持RBAC。在本文中,PX-Security将使用存储在Kubernetes Secrets中的Token,这些Token提供了最灵活的操作,且不牺牲任何安全性。
让我们来配置PX-Security来达到安全性。请访问 https://central.portworx.com,
点击安装并运行。填写安装程序要求的信息,完成后下载你的YAML文件,将文件保存以便后续做编辑。
接下来,我们将创建用于PX-Security的安全共享的Secrets。我们必须首先创建这些共享的Secrets,因为存储管理员将使用它们来生成和验证Token。出于安全原因,这些数据被存储在Kube-system命名空间中的Kubernetes Secrets中,只有少量的管理员和应用程序可以访问该命名空间。
PORTWORX_AUTH_SYSTEM_KEY=$(cat /dev/urandom | base64 | fold -w 65 | head -n 1)PORTWORX_AUTH_STORK_KEY=$(cat /dev/urandom | base64 | fold -w 64 | head -n 1)PORTWORX_AUTH_SHARED_SECRET=$(cat /dev/urandom | base64 | fold -w 64 | head -n 1)
运行以下命令将这些值放入Kubernetes Secret中:
kubectl -n kube-system create secret generic pxkeys \ --from-literal=system-secret=$PORTWORX_AUTH_SYSTEM_KEY \ --from-literal=stork-secret=$PORTWORX_AUTH_STORK_KEY \ --from-literal=shared-secret=$PORTWORX_AUTH_SHARED_SECRET
您可以使用以下命令测试Kubernetes中的共享-secret。
kubectl -n kube-system get secret pxkeys -o json | jq -r '.data."shared-secret"' | base64 -d
打开您的YAML文件,找到PortworxDaemonset,可以看args, 在image:portworx/oci-monitor下。这里我们将添加安全参数(粗体)和PX-Security需要的Secrets:
- name: portworx image: portworx/oci-monitor:2.1.5 imagePullPolicy: Always args: ["-c", "px-cluster", "-s", "/dev/xvdf", "-secret_type", "k8s", "-b", "-x", "kubernetes", "-jwt_issuer", "example-domain.com"] env: - name: "AUTO_NODE_RECOVERY_TIMEOUT_IN_SECS" value: "1500" - name: "PX_TEMPLATE_VERSION" value: "v4" - name: "PORTWORX_AUTH_JWT_SHAREDSECRET" valueFrom: secretKeyRef: name: pxkeys key: shared-secret - name: "PORTWORX_AUTH_SYSTEM_KEY" valueFrom: secretKeyRef: name: pxkeys key: system-secret - name: "PORTWORX_AUTH_STORK_KEY" valueFrom: secretKeyRef: name: pxkeys key: stork-secret
我们还需要找到Stork部署和编辑环境以包含我们的共享secret。见下文。
containers: - command: - /stork - --driver=pxd - --verbose - --leader-elect=true - --health-monitor-interval=120 imagePullPolicy: Always image: openstorage/stork:2.2.5 env: - name: "PX_SERVICE_NAME" value: "portworx-api" - name: "PX_SHARED_SECRET" valueFrom: secretKeyRef: name: pxkeys key: stork-secret
完成这两个步骤后,保存YAML文件。现在,我们需要创建我们在Portworx安装YAML中引用的共享Secret。
接下来,使用下载和编辑过的YAML文件创建Portworx集群。
$ kubectl apply-f px-sec-cluster-spec.yaml$ kubectl get po -n kube-system -l name=portworxNAME READY STATUS RESTARTS AGEportworx-4vmcx 1/1 Running 0 3m54sportworx-hwrxh 1/1 Running 0 3m54sportworx-rbqzk 1/1 Running 0 3m54s
用户和Token
我们需要定义几个用户并为他们生成Token。通常,这些用户有分配给他们的属性,这些属性定义了他们的用户类型。
首先,我们将创建一个存储管理员,该管理员具有全部权限。这样的管理员应该只有一两个。
使用以下内容创建一个名为admin.yaml的文件:
name: Storage Administratoremail: storageadmin@example.comsub: storageadmin@example.com/storageadminroles: ["system.admin"]groups: ["*"]
接下来,我们将创建一个Kubernetes用户,该用户作为一个验证客户,Kubernetes允许该用户与Portworx交互,并且这些请求来自Kubernetes。您的存储管理员需要设置此用户。
使用以下内容创建一个名为kubernetes.yaml的文件:
name: Kubernetesemail: kubernetes@local.netsub: kubernetes@local.net/kubernetesroles: ["system.user"]groups: ["kubernetes"]
最后,我们将创建一个仅能看 (view-only) 权限的用户,用于演示Portworx如何限制对底层数据管理API的访问。
使用以下内容创建一个名为viewer.yaml的文件:
name: Vieweremail: viewer@example.comsub: viewer@example.com/viewerroles: ["system.view"]groups: ["viewers"]
注意:Sub标记是该用户的唯一标识符,根据JWT标准,不能与其他Token共享。这个值被Portworx用来跟踪资源的所有权。如果电子邮件也用作唯一Sub标识符,请确保它不被任何其他Token使用。
请注意:有一个用户的角色是system.admin,另一个用户的角色是system.user,最后一个用户的角色是system.view。这些角色在PX-Security中是默认的,但也可以根据需要创建其他角色。我们来演示用户如何使用Portworx资源,如创建或删除卷。这跟该用户在Kubernetes RBAC的配置无关。
也就是说,具有system.view的用户也许能够在Kubernetes中内列出和创建PVC对象,但如果他们试图直接使用Portworx创建卷,将会失败。我们还将演示,为什么能够创建PVC对象的用户在此安全模式中实际上无法获得PV,除非该用户拥有由存储管理员配置的有效Token,来验证其角色和权限。
配置好了这些具备相关权限的用户,我们就可以使用我们的共享Secret和Portworx客户端工具pxctl,为这些用户生成自签名证书。
注意:您可以创建自己的应用来生成Token,也可以基于我们的开源golang示例程序openstorage-sdk-auth
在这个场景中,我们将使用共享Secret和pxctl auth token generate命令。让我们为上述两个用户创建Token。
首先,获取共享Secret。
PORTWORX_AUTH_SHARED_SECRET=$(kubectl -n kube-system get secret pxkeys -o json \ | jq -r '.data."shared-secret"' \ | base64 -d)
接下来,配置Admin Token。首先是SSH,到Portworx节点,这样就可以使用pxctl命令。
$ PX_POD=$(kubectl get pods -l name=portworx -n kube-system -o jsonpath='{.items[0].metadata.name}')$ kubectl exec -it -n kube-system $PX_POD bash
然后,使用admin.yaml和共享Secret创建admin Token。
注意:确保将auth_config文件和PORTWORX_AUTH_SHARED_SECRET 复制到正在使用pxctl的Portworx容器中。
ADMIN_TOKEN=$(/opt/pwx/bin/pxctl auth token generate \ --auth-config=admin.yaml \ --issuer=example-domain.com \ --shared-secret=$PORTWORX_AUTH_SHARED_SECRET \ --token-duration=1y)
$ pxctl context create admin --token $ADMIN_TOKEN
接下来,配置Kubernetes Token。
KUBE_TOKEN=$(/opt/pwx/bin/pxctl auth token generate \ --auth-config=kubernetes.yaml \ --issuer=example-domain.com \ --shared-secret=$PORTWORX_AUTH_SHARED_SECRET \ --token-duration=1y)
接下来,配置Viewer token。
VIEWER_TOKEN=$(/opt/pwx/bin/pxctl auth token generate \ --auth-config=viewer.yaml \ --issuer=example-domain.com \ --shared-secret=$PORTWORX_AUTH_SHARED_SECRET \ --token-duration=1y)
$ pxctl context create viewer --token $VIEWER_TOKEN
现在我们已经创建了用户环境(Context),比如Portworx的Kubectl环境,来供两个用户使用,我们可以作为其中一个用户与Portworx系统进行交互。
注意,您可以使用$pxctl contextlist列出所有环境:
$ pxctl context set viewer$ pxctl volume create --size 5 myvolVolumeCreate: Access denied to roles: [system.view]
发生了什么?请记住,我们为具有system.view角色的Viewer设置了用户环境。这是Portworx的默认角色,只能运行只读命令,不具备写操作的权限,因此访问被拒绝。
如何与Kubernetes一起使用?
为了让Kubernetes的用户使用PX-Security,用户必须在向集群发出请求时使用自己的Token。一种方法是让管理员在Kubernetes存储类中配置Token。管理员可以在Portworx命名空间中名为px-k8-user的Secret中设置保存Secret Token。
apiVersion: storage.k8s.io/v1kind: StorageClassmetadata: name: px-storage-repl-1provisioner: kubernetes.io/portworx-volumeparameters: repl: "1" openstorage.io/auth-secret-name: px-k8s-user openstorage.io/auth-secret-namespace: portworxallowVolumeExpansion: true
如果您正在使用CSI,请确保设置其他的参数。
注意:这目前只在通过Portworx使用CSI时有效。
parameters: repl: "1" csi.storage.k8s.io/provisioner-secret-name: px-k8s-user csi.storage.k8s.io/provisioner-secret-namespace: portworx csi.storage.k8s.io/node-publish-secret-name: px-k8s-user csi.storage.k8s.io/node-publish-secret-namespace: portworx csi.storage.k8s.io/controller-expand-secret-name: px-k8s-user csi.storage.k8s.io/controller-expand-secret-namespace: portworx
完成此操作后,具备访问存储类权限的用户可以创建卷。
kind: PersistentVolumeClaimapiVersion: v1metadata: name: mysql-dataspec: storageClass: px-storage-repl-1 accessModes: - ReadWriteOnce resources: requests: storage: 12Gi
多租户架构
当您创建上述PVC时,它将使用KubernetesToken作为用户进行身份验证,从而确保该Kubernetes用户是发出请求的用户。这很好,但是多租户环境下,他们都可以使用存储类,因此我们需要一种方法来在不同的命名空间中使用多租户的Token。这是因为Kubernetes提供了使用命名空间隔离帐户资源的好方法,但您需要更安全的多租户解决方案。Portworx可以通过为应用存储卷添加访问控制来达到多租户安全管理。使用PX-Security进行多租户管理,可以执行以下操作。
首先,为租户创建一个命名空间。
$ kubectl create namespace tenant-a-ns
使用以下创建一个名为tenant-a.yaml 的文件:
name: tenant-aemail: tenant@tenant-a.comsub: tenant@tenant-a.com/tenantroles: ["system.user"]groups: ["developers"]
使用tenant-name.yaml为Kubernetes创建一个token:
TENANT_A_TOKEN=$(/opt/pwx/bin/pxctl auth token generate \ --auth-config=tenant-a.yaml \ --issuer=example-domain.com \ --shared-secret=$PORTWORX_AUTH_SHARED_SECRET \ --token-duration=1y)
将该租户的Kubernetes Token保存在一个名为
$ kubectl -n tenant-a-ns create secret \ generic px-k8s-user \ --from-literal=auth-token=$TENANT_A_TOKEN
现在可以设置Kubernetes存储类,通过使用这个Secret,来获得Token权限,并与Portworx开始通讯。
下面的CSI存储类一旦创建,将使您的多租户能够使用存储在其命名空间中的Secret中的Token,来创建卷,方法是在命名空间中查找Secret。在使用CSI时,存储类将引用三种受支持操作的secret:provision, node-publish(mount/unmount), and controller-expand。
apiVersion: storage.k8s.io/v1kind: StorageClassmetadata: name: px-storageprovisioner: pxd.portworx.comparameters: repl: "1" csi.storage.k8s.io/provisioner-secret-name: px-k8s-user csi.storage.k8s.io/provisioner-secret-namespace: ${pvc.namespace} csi.storage.k8s.io/node-publish-secret-name: px-k8s-user csi.storage.k8s.io/node-publish-secret-namespace: ${pvc.namespace} csi.storage.k8s.io/controller-expand-secret-name: px-k8s-user csi.storage.k8s.io/controller-expand-secret-namespace: ${pvc.namespace}allowVolumeExpansion: true
请注意 ${pvc.namespace}。这将确保CSI控制器获得正确的Token,该Token与PVC的命名空间相关联。您现在就有了一个基于Token身份验证的多租户解决方案。
我们在本Blog中有一部分没有介绍的PX-Security功能就是Portworx卷的加密。您可以在这里(how to work with Encrypted PVCs)查看更多的关于PVC加密的文档 。您可以将Portworx RBAC与卷加密结合使用,来使Kubernetes中的数据更加安全。
关于如何为K8S生产系统配置安全管理就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。