K8s的用户和权限管理包括两个方面:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。
Kubernetes提供了三种级别的客户端认证方式:
- HTTPS证书认证,是基于CA根证书签名的双向数字证书认证方式,是最严格的认证
- HTTP Token认证,通过Token识别每个合法的用户
- HTTP Basic认证
HTTP Token认证和Http Basic认证是相对简单的认证方式,Kubernetes的各组件与Api Server的通信方式仍然是HTTPS,但不再使用CA数字证书。
证书认证
使用kubeadm初始化的Kubernetes集群中,kube-apiserver是以静态Pod的形式运行在Master Node上。 可以在Master Node上找到其定义文件/etc/kubernetes/manifests/kube-apiserver.yaml,其中启动命令参数部分如下:
"containers": [
{
"name": "kube-apiserver",
"image": "gcr.io/google_containers/kube-apiserver-amd64:v1.5.2",
"command": [
"kube-apiserver",
"--insecure-bind-address=127.0.0.1",
"--admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,PersistentVolumeLabel,DefaultStorageClass,ResourceQuota",
"--service-cluster-ip-range=10.96.0.0/12",
"--service-account-key-file=/etc/kubernetes/pki/apiserver-key.pem",
"--client-ca-file=/etc/kubernetes/pki/ca.pem",
"--tls-cert-file=/etc/kubernetes/pki/apiserver.pem",
"--tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem",
"--token-auth-file=/etc/kubernetes/pki/tokens.csv",
"--secure-port=6443",
"--allow-privileged",
"--advertise-address=192.168.61.100",
"--kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname",
"--anonymous-auth=false",
"--etcd-servers=http://127.0.0.1:2379"
],
部分参数说明:
--client-ca-file: 指定CA根证书文件为/etc/kubernetes/pki/ca.pem,内置CA公钥用于验证某证书是否是CA签发的证书
--tls-private-key-file: 指定ApiServer私钥文件为/etc/kubernetes/pki/apiserver-key.pem
--tls-cert-file: 指定ApiServer证书文件为/etc/kubernetes/pki/apiserver.pem
说明Api Server已经启动了HTTPS证书认证,此时如果在集群外部使用浏览器访问 https://master:6443/api会提示Unauthorized。
设置apiserver的启动参数:--client_ca_file=SOMEFILE。
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=k8stest" -days 10000 -out ca.crt
openssl x509 -noout -text -in ca.crt
openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=master.k8stest" -out server.csr
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000
openssl x509 -noout -text -in server.crt
openssl genrsa -out winway.key 2048
openssl req -new -key winway.key -subj "/CN=winway" -out winway.csr
openssl x509 -req -in winway.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out winway.crt -days 10000
证书分四类
- ca.pem - 私有CA根证书
- kubernetes.pem - 与 node 通信的,
- kube-proxy.pem - k8s 与容器通信的
- admin.pem - kubectl 管理用
Token认证
设置apiserver的启动参数:--token_auth_file=SOMEFILE。
#cat tokens.csv
abcdTOKEN1234,winway,winway
基本信息认证
设置apiserver的启动参数:--basic_auth_file=SOMEFILE。
$ cat password.csv
123456,winway,winway
$ echo -n "winway:123456" | base64
d2FuZ3dlaToxMjM0NTY=
配置生效
$ vim /etc/kubernetes/apiserver
KUBE_API_ARGS="--client-ca-file=/home/winway/ca.crt --tls-cert-file=/home/winway/server.crt --tls-private-key-file=/home/winway/server.key --token_auth_file=/home/winway/tokens.csv --basic-auth-file=/home/winway/password.csv"
systemctl restart kube-apiserver
测试
curl --cacert ./ca.crt --key ./winway.key --cert ./winway.crt 'https://master.k8stest:6443'
curl --cacert ./ca.crt -H "Authorization: Bearer abcdTOKEN1234" 'https://master.k8stest:6443'
curl --cacert ./ca.crt -H "Authorization: Basic d2FuZ3dlaToxMjM0NTY=" 'https://master.k8stest:6443'
网友评论