建站
咨詢
售后
建站咨詢
新聞中心
這篇文章主要介紹了kubernetes中安全機制API Server認證之Service Account Token的示例分析,具有一定借鑒價值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
為鎮(zhèn)坪等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù),及鎮(zhèn)坪網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站設(shè)計制作、成都網(wǎng)站設(shè)計、鎮(zhèn)坪網(wǎng)站設(shè)計,以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求,就會得到認可,從而選擇與我們長期合作。這樣,我們也可以走得更遠!
一:前言
Kubernetes有User Account和Service Account兩套獨立的賬號系統(tǒng)。
1.User Account是給人用的,Service Account 是給Pod 里的進程使用的,面向的對象不同。
2.User Account是全局性的,Service Account 是屬于某個具體的Namespace
3.User Account是與后端的用戶數(shù)據(jù)庫同步的。
二:Kubernetes API Server簡介
Kubernetes API Server通過一個名為kube-apiserver的進程提供服務(wù),該進程運行在Master節(jié)點上。在默認情況下,kube-apiserver進程在本機的8080端口(--insecure-port)提供REST服務(wù)。我們可以同時啟動HTTPS安全端口(--secure=6443)來啟動安全機制,加強REST API訪問的安全性。
通常我們使用kubectl來與Kubernetes API Server交互,它們之間的接口是REST調(diào)用。也可以使用curl命令行工具進行快速驗證。
另外是通過編程的方式調(diào)用Kubernetes API Server 具體又細分為以下兩種場景:
1. 運行在POD里的進程調(diào)用Server
API. Pod中的進程如何指定API
Server的訪問地址呢?答案很簡單,因為Kubernetes API Server本身也是一個Service,它的名字是“kubernetes”,IP地址是ClusterIP地址池里面的第一個地址。服務(wù)端口是HTTPS端口443.
2. 開發(fā)基于Kubernetes的管理平臺,比如調(diào)用Kubernetes API來完成Pod,Service,RC等資源對象的圖形化創(chuàng)建和管理界面。可采用社區(qū)中相關(guān)的Client Library.
正常情況下,為了確保Kubernetes集群的安全,API Server都會對客戶端進行身份認證,認證失敗則無法調(diào)用API。此外,Pod中訪問Kubernetes API Server服務(wù)的時候,是以Service方式訪問服務(wù)名為kubernetes的這個服務(wù),而kubernetes服務(wù)又只在HTTPS 443上提供服務(wù),那么如何進行身份認證呢? 答案是 Service Account Token.
三: Service Account
公鑰證書,用于Pod中的Process對API Server的服務(wù)端數(shù)字證書進行校驗時使用的),namespace和token被放到了容器內(nèi),這樣容器就可以通過https的請求訪問apiserver了。
四:
API Server的service account驗證過程
以kube-system namespace下的“default” service account為例,Pod的usrname全稱為:system:serviceaccount:kube-system:default。有了username,那么credentials呢?就是上面提到的service-account-token中的token。API Server的驗證環(huán)節(jié)支持多種身份校驗方式:CA 證書認證、Token 認證、Base 認證。一旦API Server發(fā)現(xiàn)client發(fā)起的request使用的是service account token的方式,API Server就會自動采用signed bearer token方式進行身份校驗。而request就會使用攜帶的service account token參與驗證。該token是API Server在創(chuàng)建service account時用API server啟動參數(shù):–service-account-key-file的值簽署(sign)生成的。如果–service-account-key-file未傳入任何值,那么將默認使用–tls-private-key-file的值,即API Server的私鑰。
五:
Secret
Kubernetes提供了Secret來處理敏感信息,目前Secret的類型有3種:
1.Opaque(default): 任意字符串
2.kubernetes.io/service-account-token: 作用于ServiceAccount,就是上面說的。
3.kubernetes.io/dockercfg: 作用于Docker
registry,用戶下載docker鏡像認證使用。
每個Namespace下有一個名為default的默認的Service Account對象,這個Service Account里面有一個名為Tokens的可以當(dāng)作Volume一樣被Mount到Podcast里的Secret,當(dāng)Pod 啟動時,這個Secret會自動被Mount到Pod的指定目錄下,用來協(xié)助完成Pod中的進程訪問API Server時的身份鑒權(quán)過程。
感謝你能夠認真閱讀完這篇文章,希望小編分享的“kubernetes中安全機制API Server認證之Service Account Token的示例分析”這篇文章對大家有幫助,同時也希望大家多多支持創(chuàng)新互聯(lián),關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,更多相關(guān)知識等著你來學(xué)習(xí)!
當(dāng)前題目:kubernetes中安全機制APIServer認證之ServiceAccountToken的示例分析
文章起源:http://www.ef60e0e.cn/article/gceidc.html
