9.k8s安全

一、认证

机制说明

kubernetes作为一个分布式集群的管理工具, 保证集群的安全性是其一个重要的任务。 API Server 是集群内部各个组件通信的中介,也是外部控制的入口。 所以kubernetes的安全机制基本就是围绕保护API Server来设计的。 kubernetes使用了认证(Authentication),鉴权(Authorization),准入控制(Admission Control)三步来保证API Server的安全

Authentication(认证)

  • HTTP Token认证: 通过一个Token来识别合法用户
    • HTTP Token的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串-Token来表达客户的一种方式。Token是一个很长的很复杂的字符串, 每一个Token对应一个用户名存储在API Server能访问的文件中。 当客户端发起API调用请求时, 需要在HTTP Header 里放入Token
  • HTTP Base认证: 通过用户名+密码 的方式认证
    • 用户名+: +密码用BASE64算法进行编码后的字符串放在HTTP Request中中的Heather Authorization 域里发送给服务端, 服务端收到后进行编码, 获取用户名及密码
  • 最严格的HTTPS证书认证: 基于CA根证书签名的客户端身份认证方式

1.HTTPS 证书认证:

2.需要认证的节点

image-20210113220706750

两种类型

  • kubernetes 组件对API Server的访问:kubectl,Controller Manager , Scheduler,kubelet,kube-proxy
  • kubernetes管理的Pod 对容器的访问: Pod(dashborad也是以Pod形式运行)

安全性说明

  • Controller Manager,Scheduler与API Server 在同一台机器, 所以直接使用API Server的非安全端口访问,--insecure-bind-address=127.0.0.1

  • Kubectl , kubelet ,kube-proxy 访问API Server就都需要证书进行HTTPS双向认证

证书颁发

  • 手动签发: 通过k8s集群的跟ca进行签发HTTPS证书
  • 自动签发:kubelet首次访问API Server时, 使用token做认证, 通过后, Controller Manager 会为kubelet生成一个证书, 以后的访问都是用证书做认证了。

3.kubeconfig

kubeconfig文件包含集群参数(CA证书,API Server地址),客户端参数(上面生成的证书和私钥),集群context信息(集群名称,用户名)。 kubernetes组件通过启动时指定不同的kubeconfig文件可以切换到不同的集群

4. ServiceAccount

Pod中的容器访问API Server 。 因为Pod的创建,销毁是动态的, 所以要为它手动生成证书就不可行了。

kubenetes使用了Service Account解决Pod 访问API Server的认证问题

5. Secret与SA的关系

kubernetes设计了一种资源对象叫做Secret, 分为两类, 一种是用于ServiceAccount 的service-account-token, 另外一种是用于保护用户自定义保密信息的Opaque。 ServiceAccount中用到包含三个部分: Token ca.crt namespace

  • token是使用API Server私钥签名的JWT。 用于访问API Server时, Server端认证

  • ca.crt, 根证书。 用于Client 端验证API Server发送的证书

  • namespace, 标识这个service-account-token 的作用域空间

    Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准为(【RFC 7519】),该token被设计为紧凑且安全的 , 特别适用于分布式站点的单点登录(SSO)场景, JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息 , 以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必须的声明信息, 该token也可以直接被用于认证, 也可被加密

    kubectl get secret --all-namespaces
kubectl describe secret default-token-5gm9r --namespace=kube-system

    默认情况下, 每个namespace都会有一个ServiceAccount , 如果Pod在创建时没有指定ServiceAccount,就会使用Pod 所属的namespace的ServiceAccount

    注: 默认挂载目录: /run/secrets/kubernetes.io/serviceaccount/

    总结

image-20210113222630942

二、鉴权

上面认证过程, 只是确认通信的双方都确认了对方是可信的, 可以相互通信。 而鉴权是确定请求方有哪些资源的权限。API Server目前支持一下几种授权策略(通过API Server的启动参数--authorization-mode设置)

  • AlwaysDeny:表示拒绝所有的请求, 一般用于测试
  • AlwayAllow: 允许接收所有请求, 如果集群不需要授权流程, 则可以采用改策略
  • ABAC(Attribute-Based Access Control):基于属性的访问控制, 表示使用用户配置的授权规则对用户请求进行匹配和控制
  • Webbook:通过调用外部REST服务对用户进行授权
  • RBAC(Role-Based Access Control):基于角色的访问控制, 现行默认规则

RBAC授权模式

RBAC(Role-Based Access Control)基于角色的访问控制, 在kubernetes 1.5 中引入, 现行版本成为默认标准。 相对其他访问控制方式, 拥有以下优势:

  • 对集群中的资源和非资源均有完整的覆盖
  • 整个RBAC完全由几个API对象完成, 同其他API对象一样, 可以用kebectl或API进行操作
  • 可以在运行时进行调整, 无需重启API Server

1.RBAC的API资源对象说明

RBAC引入了4个新的顶级资源对象: Role、ClusterRole、RoleBinding、ClusterRoleBinding 4种对象类型均可以通过kubectl与API操作

需要注意的是Kubenetes并不会提供用户管理, 那么User、Group、SserviceAccount指定的用户又是从哪里来的呢?kubenetes组件(kubectl,kube-proxy)或是其他自定义的用户在向CA申请证书时, 需要提供一个证书请求文件

{
  "CN": "admin",
  "hosts": [],
  "key": {"algo": "rsa","size": 2048  
  },
  "names": [    
    {
      "C": "CN",
      "ST": "HangZhou",
      "L": "XS",
      "O": "system:masters",
      "OU": "System"    
    }  
  ]
}

API Server会把客户端证书CN字段作为User, 把names.0字段作为Group

kubelet使用TLS Bootstaping认证时, API Server可以使用Bootstrap Tokens或者Token authentication file 验证=token , 无论哪一种, kubennetes都会为token绑定一个默认的User和Group

Pod使用ServiceAccount认证时,service-account-token中的JWT会保存User信息

有了用户信息,再创建一对角色/角色绑定(集群角色/集群角色绑定)资源对象,就可以完成权限绑定了

Role and ClusterRole

在RBAC API中,Role表示一组规则权限, 权限只会增加(累加权限),不存在一个资源一开始就有很多权限而通过RBAC对其进行减少的操作;Role可以定义在一个namespace中, 如果想要跨namespace则可以创建ClusterRole

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:  
  namespace: default  
  name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group  
  resources: ["pods"]  
  verbs: ["get", "watch", "list"]

ClusterRole具有与Role相同的权限角色控制能力, 不同的是ClusterRole是集群级别的, ClusterRole可以用于:

  • 集群级别的资源控制(例如node访问权限)

  • 非资源型endpoints(例如/healthz访问)

  • 所有命令空间资源控制(例如pods)

    kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # "namespace" omitted since ClusterRoles are not namespaced
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get","watch","list"]

RoleBinding and ClusterRoleBinding

RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding包含一组权限列表(subjects),权限列表中包含有不同形式的待授权权限资源类型(users,groups,or service accounts);RoloBinding同样包含对被Bind的Role引用;RoleBinding使用于某个命令空间内授权, 而ClusterRoleBinding适用于集群范围内的授权

将default命令空间的pod-reader Role授予jane用户,此后jane用户在default命令空间中将具有pod-reader的权限

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:  
  name: read-pods  
  namespace: default
subjects:
- kind: User  
  name: jane  
  apiGroup: rbac.authorization.k8s.io
roleRef:  
  kind: Role  
  name: pod-reader  
  apiGroup: rbac.authorization.k8s.io

RoleBinding同样可以引用ClusterRole来对当前namespace内用户, 用户组或ServiceAccount进行授权,这种操作允许集群管理员在整个集群内定义一些通用的ClusterRole,然后在不同的namespace中使用RoleBinding来引用

例如, 一下RoleBinding引用了一个ClusterRole, 这个ClusterRole具有整个集群内对secrets的访问权限;但是其授权用户dave只2能访问development空间中的secrets(因为RoleBinding定义在development命名空间)

# This role binding allows "dave" to read secrets in the "development" namespace.
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-secrets  
  namespace: development # This only grants permissions within the "development" namespace.
subjects:
- kind: User  
  name: dave  
  apiGroup: rbac.authorization.k8s.io
roleRef:  
  kind: ClusterRole  
  name: secret-reader  
  apiGroup: rbac.authorization.k8s.io

使用ClusterRoleBinding可以对整个集群中的所有命名空间资源权限进行授权; 以下ClusterRoleBinding样例展示了授权manager组内所有用户在全部命名空间中对secret进行访问

# This cluster role binding allows anyone in the "manager" group to read secrets in anynamespace.
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:  
  name: read-secrets-global
subjects:
- kind: Group  
  name: manager  
  apiGroup: rbac.authorization.k8s.io
roleRef:  
  kind: ClusterRole  
  name: secret-reader  
  apiGroup: rbac.authorization.k8s.io

Resources

kubernetes集群内一些资源一般以其名称字符串来表示, 这些字符串一般会在API的URL地址中出现;同时某些资源也会包含子资源, 例如logs资源就属于pods的子资源, API 中URL样例如下

GET /api/v1/namespaces/{namespace}/pods/{name}/log

如果要在RBAC授权模型中控制这些子资源的访问权限, 可以通过/分隔符来实现, 以下是一个定义pods资源logs访问权限的Role定义样例

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: default
  name: pod-and-pod-logs-reader
rules:
- apiGroup: [""]
  resources: ["pods/log"]
  verbs: ["get", "list"]

to Subjects

RoleBinding和ClusterRoleBinding可以将Role绑定到subjects; Subjects可以是groups,users或者 service account

Subject中Users使用字符串表示,它可以是一个普通的命令字符串, 如“alice”; 也可以是email格式的邮箱地址,如“syuee@syuee.com”; 甚至是一组字符串形式的数字ID 。 但是Users的前缀system;前缀为系统保留

先在系统创建一个用户

 useradd devuser

实践: 创建一个用户只能管理dev空间

{
  "CN": "devuser",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048  
  },
  "names": [    
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"    
     }  
   ]
 }
 
 # 下载证书生成工具
 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
 mv cfssl_linux-amd64 /usr/local/bin/cfssl
 
 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
 mv cfssljson_linux-amd64 /usr/local/bin/cfssljson
 
 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
 mv cfssl-certinfo_linux-amd64 /usr/local/bin/cfssl-certinfo
 
 cfssl gencert -ca=ca.crt -ca-key=ca.key  \
 -profile=kubernetes /usr/local/kubernetes/install/cert/devuser/devuser-csr.json \
 | cfssljson -bare devuser
 
 # 设置集群参数
 export KUBE_APISERVER="https://192.168.66.110:6443"
 kubectl config set-cluster kubernetes \
 --certificate-authority=/etc/kubernetes/pki/ca.crt \
 --embed-certs=true \--server=${KUBE_APISERVER} \
 --kubeconfig=devuser.kubeconfig
 
 # 设置客户端认证参数
 kubectl config set-credentials devuser \
 --client-certificate=/etc/kubernetes/pki/devuser.pem \
 --client-key=/etc/kubernetes/pki/devuser-key.pem \
 --embed-certs=true \
 --kubeconfig=devuser.kubeconfig
 
 # 设置上下文参数
 kubectl config set-context kubernetes \
 --cluster=kubernetes \
 --user=devuser \
 --namespace=dev \
 --kubeconfig=devuser.kubeconfig
 
 # 设置默认上下文
 
 
kubectl create rolebinding devuser-admin-binding --clusterrole=admin --user=devuser --namespace=dev

mkdir /home/devuser/.kube
cp ./devuser.kubeconfig /home/devuser/.kube/config
chown -R devuser:devuser /home/devuser/

kubectl config use-context kubernetes --kubeconfig=/home/devuser/.kube/config

实例

在devuser用户下创建一个 pod 进行验证
kubectl run nginx --image=nginx

在root用户下的dev命名空间下查看

kubectl get pod --all-namespaces -o wide | grep nginx

三、准入控制

准入控制是API Server的插件集合, 通过添加不同的插件, 实现额外的准入控制规则, 甚至API Server的一些主要的功能都需要通过Admission Controllers实现, 比如ServiceAccount

官方文档上有一份针对不同版本的准入控制器推荐列表, 其中最新的1.14 的推荐列表是:

NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota

列举几个插件的功能:

  • NamespaceLifecycle: 防止在不存在的namespace 上创建对象, 防止删除系统预置namespace, 删除namespace时, 连带删除它的所有资源对象
  • LimitRanger: 确保请求的资源不会超过资源所在Namespace的LimitRange 的限制
  • ServiceAccount: 实现了自动化添加ServiceAccount
  • ResourceQuota: 确保请求的资源不会超过资源的ResourceQuota限制
posted @ 2021-08-01 16:29  白色的番茄  阅读(176)  评论(0编辑  收藏  举报