K8s 安全機制
以下是圖片的文字辨識及繁體中文翻譯:
Kubernetes 集群安全機制
1. 概述
-
訪問 k8s 集群時,需要經過三個步驟完成具體操作:
- 第一步:認證
- 第二步:授權
- 第三步:準入控制
-
訪問過程:
- 訪問時需要經過
apiserver,apiserver做統一認證和驗證,例如門衛。 - 訪問過程中需要 證書、token,或者用 用戶名+密碼。
- 如果訪問 Pod,還需要 serviceAccount。
- 訪問時需要經過
第一步 認證:傳輸安全
-
傳輸安全:
- 對外不暴露 8080 端口,只能內部訪問,對外使用端口 6443。
-
認證方式:
https證書認證:基於 CA 證書。httptoken 認證:通過 token 識別用戶。http基本認證:使用用戶名+密碼認證。
第二步 授權:
- 基於 RBAC 進行授權操作。
- 基於角色訪問控制。
第三步 準入控制:
- 準入控制器的列表,根據列表決定是否允許執行操作。
2. RBAC
基於角色的訪問控制
-
角色:
- role:特定命名空間訪問權限
- ClusterRole:所有命名空間訪問權限
-
角色綁定:
- roleBinding:角色綁定到主體
- ClusterRoleBinding:集群角色綁定到主體
主體:
- user:用戶
- group:用戶組
- serviceAccount:服務帳號
這是基於 RBAC 的角色和權限管理,適用於 Kubernetes 的訪問控制。如需進一步說明或具體範例,請隨時告訴我!😊

