K8S集群安全介绍


一、机制说明

Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的,Kubernetes 使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证API Server的安全 。

144.png

二、认证 Authentication

HTTP Token 认证:

通过一个 Token 来识别合法用户,HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 - Token 来表达客户的一种方式。Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中,当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token。

# 例如加入k8s时,使用的就是Tokne认证:
kubeadm join 192.168.8.128:6443 --token abcdef.0123456789abcdef \
 --discovery-token-ca-cert-hash sha256:0d52197239b2e78ab5bfcae2b0800881c32729b970452f183b018abc002c0256

HTTP Base 认证:

通过用户名+密码的方式进行认证,用户名+密码用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端,服务端收到后进行编码,获取用户名及密码。

HTTPS 证书认证:

HTTPS 证书认证是最严格的认证,基于 CA 根证书签名的客户端身份认证方式。

1、HTTPS 证书认证:

145.png

2、需要认证的节点

146.png

两种类型

  • Kubenetes 组件对 API Server 的访问:kubectl、Controller Manager、Scheduler、kubelet、kube-proxy
  • Kubernetes 管理的 Pod 对容器的访问:Pod(dashborad 也是以 Pod 形式运行)

安全性说明

Controller Manager、Scheduler 与 API Server 在同一台机器,所以直接使用 API Server 的非安全端口访问, --insecure-bind-address=127.0.0.1

kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证

证书颁发

  • 手动签发:通过 k8s 集群的跟 ca 进行签发 HTTPS 证书
  • 自动签发:kubelet 首次访问 API Server 时,使用 token 做认证,通过后,Controller Manager 会为kubelet 生成一个证书,以后的访问都是用证书做认证了

3、kubeconfig

kubeconfig 文件包含集群参数(CA证书、API Server地址),客户端参数(上面生成的证书和私钥),集群context 信息(集群名称、用户名)。Kubenetes 组件通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群。

4、ServiceAccount

Pod中的容器访问API Server。因为Pod的创建、销毁是动态的,所以要为它手动生成证书就不可行了。Kubenetes使用了Service Account解决Pod 访问API Server的认证问题。

Service Account 是 Kubernetes 中的一种资源,用于在集群内标识和授权应用程序。它们类似于用户账户,但专门用于运行在 Pod 中的应用程序,而不是人类用户。

当你创建一个 Pod 时,如果没有指定 Service Account,Kubernetes 会为该 Pod 自动分配一个默认的 Service Account。这个默认的 Service Account 通常具有最低权限,以确保安全。

你可以手动创建 Service Account,或者让 Kubernetes 自动创建默认的 Service Account。

要创建一个 Service Account,可以使用 kubectl 命令行工具或通过 YAML 配置文件定义。

# 使用 kubectl 创建:
kubectl create serviceaccount my-serviceaccount
# 使用 YAML 文件创建:
vim serviceAccount.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-serviceaccount
  namespace: default

# 然后使用 kubectl apply -f serviceAccount.yaml 命令应用配置。

5、Secret 与 SA 的关系

Kubernetes 设计了一种资源对象叫做 Secret,分为两类,一种是用于 ServiceAccount 的 service-account-token,另一种是用于保存用户自定义保密信息的 Opaque。ServiceAccount 中用到包含三个部分:Token、ca.crt、namespace。

1、token是使用 API Server 私钥签名的 JWT。用于访问API Server时,Server端认证

2、ca.crt,根证书。用于Client端验证API Server发送的证书

3、namespace, 标识这个service-account-token的作用域名空间

# Json web token(JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519),该 token 被设计为紧凑且安全的,特别适合用于分布式站点的单点登陆(SSO)场景,JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必需声明的信息,该 token 也可以直接用于认证,也可以被加密。
# 假设我们有一个 JWT,其内容如下:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
# 我们可以将其分解为三个部分:
Header: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9
Signature: TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
# 通过 Base64Url 解码,我们可以看到:
# Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
# Payload:
{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

默认情况下,每个 namespace 都会有一个 ServiceAccount,如果 Pod 在创建时没有指定 ServiceAccount,就会使用 Pod 所属的 namespace 的 ServiceAccount

147.png