美文网首页
手动搭建kubernetes集群(三)

手动搭建kubernetes集群(三)

作者: AnakinSun | 来源:发表于2019-05-28 11:13 被阅读0次

    本文是这个系列的第三篇文章,前两篇记录了搭建一个k8s集群的过程,但是之前搭建好的集群少了很重要的一个部分,就是安全相关的功能,包括认证、授权等机制。

    什么是认证,什么又是授权呢,可以简单的理解为,认证的目的是知道用户是谁,授权的目的是知道用户可以做什么。先认证,知道是谁,再授权知道能做什么。

    所谓的安全,主要是针对apiserver所说的,因为k8s通过apiserver提供RESTFUL接口,所以如果有人知道你的apiserver地址,就可以修改你的集群信息了。
    首先了解一下相关的基础知识,包括SSL、JWT、RBAC等等。

    SSL介绍

    SSL是一个协议,https中的s,代表的就是SSL。
    网上关于SSL的介绍很多也很详细,我这里只说一下我的理解。为了保证网络传输过程中的安全,传输的信息需要进行加密处理。 加密可以分为两类,对称加密和非对称加密。

    1. 对称加密

      所谓对称加密, 就是说加密和解密的方法是对称的,加密方怎么加密,解密方就怎么反过来解密。举个例子:

      Client端通过对称的加密算法md5以及一个秘钥,加密一段信息,并将加密后的信息通过请求发送给server端:
    secret = md5(key+info)
    

    server端为了验证请求的来源合法性,采用同样的方式重新加密,并将结果和client端发来的加密结果对比,如果一致,就认为请求是合法的。
    这个过程中,双方需要持有相同的key,并使用相同的加密方法。

    1. 非对称加密

      理解了对称加密,很容易想到,非对称加密就是双方的操作不一致。以常用的RSA加密来举例子:

      server端事先会生成一对key,一个可以公开的叫公钥,一个不能公开的叫私钥。公钥的内容任何人可见,但是只能用来加密,私钥用来解密(具体的原理请参考相关资料,基本思想就是质数分解)。所以上面的请求过程就变成了client端用server端给的公钥,把请求信息加密,然后发送给server,server端在收到请求后,用自己的私钥就可以解密从而获得请求信息。
    2. 对比

      使用对称加密的时候,双方都需要知道key,这就存在key被泄露的风险,而非对称加密则不存在这个问题,公钥谁都可以看,私钥不存在传输给别人的过程,安全程度大大加强。

      但是非对称加密的问题是,运算速度比较慢,效率相对比较低。
    3. SSL

      说了这么多,终于回到SSL了,SSL大概就是结合了上面说的对称和非对称加密,利用了两者的优势,具体的操作大概是这样的:

      非对称加密不是慢么?对称加密不是容易泄露key么?那好,用非对称的方式来传输对称加密使用的key,两个问题就都解决了。大致的工作流程如下:
    • client向server发起请求,拿到server端的公钥
    • client用公钥把自己生成的key加密,然后发送给server
    • server用私钥解密,获得了client的key
    • 两端可以愉快的用这个key通过对称加密的方式通信了。

    当然实际的请求流程比我这个要复杂的多,各位自行了解吧~~

    JWT介绍

    JWT的全称是json web token,是一个标准,主要用于授权和信息交换。

    看名字就知道,这货就是个token,具体来说,是一个由“.”分割的三个部分组成的字符串,这三个部分分别是:

    • header
    • playload
    • signature

    看起来就是这样的aaaaaa.bbbb.cccc,这个字符串本身包含了一些信息,例如可以保存用户的ID等,这样服务端在接收到token之后,通过解密就直接拿到ID,不用再去数据库里查询了。token里同时还包括使用的签名算法等。具体的使用流程就是,server收到client请求的时候,用一个自己的secret使用某种加密算法生成一个这样的Token,然后发送给client,client获得token之后,每次请求都要在Authorization header里带上获得的token,header看起来是这样的:

    Authorization: Bearer <token>
    

    server端每次都会验证这个token是不是自己签发的那个有效的token,从而实现无状态http服务的状态,是不是感觉作用和session有些类似?其实还是有些差异的,比如: session存储在服务端,JWT存储在客户端。

    RBAC介绍

    RBAC的全称是Role-Based Access Control,基于角色的访问控制。

    下面是我粗浅的理解:

    把系统的操作权限拆分成一个个的小单位,多个小单位赋予某个角色,然后让用户属于某个角色,这样就可以灵活的控制用户对系统的访问控制了。还是举个例子:

    某个管理后台里有很多功能,比如用户管理、订单管理、商品管理、用户留言管理,然后定义几个角色:超级管理员有所有权限,运营管理员有用户管理和留言管理权限,财务管理员有订单管理权限。ok,这样一个用户进来这个后台的时候,根据需要给他赋予某个角色,他就有了对应的管理权限,一个角色可以有多个用户,多个角色可以有相同的权限,也可以随时调整角色和权限的关系,非常灵活。不知道我说清楚了没有。具体的还请查阅相关文档。

    kubernetes的认证和授权

    1. 认证

      kubernetes支持三种方式的认证:
    • HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式,用到的就是前面说的SSL;
    • HTTP Token认证:通过一个Token来识别合法用户,可以是普通token也可以是前面说过的JWT token;
    • HTTP Base认证:通过用户名+密码的方式认证;

      apiserver支持设置一种或多种认证方式,如果设置了多种,那么通过其中任何一种,都认为是认证成功了。
    1. 授权

      apiserver支持多种授权模式,例如Node,RBAC,Webhook等,可以在apiserver启动的时候指定授权模式,同样也可以指定一种或者多种,如果指定了多种,通过其中的某一种就认为是授权成功了,和认证类似。

      客户端访问apiserver的时候,发起的http request中带有各种属性,例如user,group,path等,授权过程就是将这些属性与配置好的授权模式去比较,从而判断是否可以授权对应的操作。

    总结

    絮絮叨叨的总算写完了,说的再多,都不如撸起袖子加油干,接下来就在之前搭建好的基础版集群环境里去试验一下吧~~~

    相关文章

      网友评论

          本文标题:手动搭建kubernetes集群(三)

          本文链接:https://www.haomeiwen.com/subject/atprtctx.html