日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

公告:魔扣目錄網(wǎng)為廣大站長(zhǎng)提供免費(fèi)收錄網(wǎng)站服務(wù),提交前請(qǐng)做好本站友鏈:【 網(wǎng)站目錄:http://www.ylptlb.cn 】, 免友鏈快審服務(wù)(50元/站),

點(diǎn)擊這里在線咨詢客服
新站提交
  • 網(wǎng)站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會(huì)員:747

目錄
  • 身份認(rèn)證策略
  • API Server啟用的身份認(rèn)證機(jī)制
  • kubelet啟用的身份認(rèn)證機(jī)制
    • X.509數(shù)字證書認(rèn)證
    • 靜態(tài)令牌文件
    • Service Account令牌
    • OpenID Connect(OIDC)令牌
    • Webhook令牌認(rèn)證
    • 身份認(rèn)證代理
    • 靜態(tài)令牌認(rèn)證配置案例
      • 靜態(tài)令牌認(rèn)證的基礎(chǔ)配置
      • 配置示例
  • X509 數(shù)字證書認(rèn)證
    • 所有的證書
      • X509數(shù)字證書認(rèn)證測(cè)試

      身份認(rèn)證策略

      k8s實(shí)現(xiàn)身份認(rèn)證策略及過(guò)程解析

      • X.509客戶端證書認(rèn)證
      • 持有者令牌(bearer token)
        • 靜態(tài)令牌文件(Static Token File)
        • Bootstrap令牌
        • Service Account令牌
        • OIDC(OpenID Connect)令牌
        • Webhook令牌
      • 身份認(rèn)證代理(Authenticating Proxy)
      • 匿名請(qǐng)求

      API Server啟用的身份認(rèn)證機(jī)制

      k8s實(shí)現(xiàn)身份認(rèn)證策略及過(guò)程解析

      基于認(rèn)證插件支持多種認(rèn)證方式,而相應(yīng)認(rèn)證插件的啟用需要經(jīng) 由kube-apiserver上的專用選項(xiàng)完成 kubeadm v1.26 部署的集群默認(rèn)啟用的認(rèn)證機(jī)制如右圖紅框中的選 項(xiàng),它們依次是

      • X509客戶端證書認(rèn)證
      • Bootstrap令牌認(rèn)證
      • 身份認(rèn)證代理
      • Service Account認(rèn)證

      注意:API Server并不保證各認(rèn)證插件的生效次序與定義的次序相同

      kubelet啟用的身份認(rèn)證機(jī)制

      kubelet的REST API端點(diǎn)默認(rèn)通過(guò)TCP協(xié)議的10250端口提供,支持管理操作

      k8s實(shí)現(xiàn)身份認(rèn)證策略及過(guò)程解析

      需要對(duì)客戶端身份進(jìn)行認(rèn)證

      • 啟用的身份認(rèn)證
        • webhook
        • x509客戶端證書認(rèn)證
        • 注意:建議顯式禁用匿名用戶
      • API Server是該API端點(diǎn)的客戶端,因此,kubelet需要在驗(yàn)證客戶端身份時(shí)信任給API Server 頒發(fā)數(shù)字證書的CA

      k8s實(shí)現(xiàn)身份認(rèn)證策略及過(guò)程解析

      X.509數(shù)字證書認(rèn)證

      在雙向TLS通信中,客戶端持有數(shù)字證書,而API Server信任客戶端證書的頒發(fā)者

      • 信任的CA,需要在kube-apiserver程序啟動(dòng)時(shí),通過(guò)–client-ca-file選項(xiàng)傳遞
      • 認(rèn)證通過(guò)后,客戶端數(shù)字證書中的CN(Common Name)即被識(shí)別為用戶名,而O(Organization)被識(shí)別為組名
      • kubeadm部署的Kubernetes集群,默認(rèn)使用 /etc/kubernetes/pki/ca.crt 進(jìn)行客戶端認(rèn)證
      • /etc/kubernetes/pki/ca.crt是kubeadm為Kubernetes各組件間頒發(fā)數(shù)字證書的CA

      靜態(tài)令牌文件

      令牌信息保存于文本文件中 由kube-apiserver在啟動(dòng)時(shí)通過(guò)–token-auth-file選項(xiàng)加載 加載完成后的文件變動(dòng),僅能通過(guò)重啟程序進(jìn)行重載,因此,相關(guān)的令牌會(huì)長(zhǎng)期有效 客戶端在HTTP請(qǐng)求中,通過(guò)“Authorization Bearer TOKEN”標(biāo)頭附帶令牌令牌以完成認(rèn)證

      Service Account令牌

      • 該認(rèn)證方式將由kube-apiserver程序內(nèi)置直接啟用
      • 它借助于經(jīng)過(guò)簽名的Bearer Token來(lái)驗(yàn)證請(qǐng)求
        • 簽名時(shí)使用的密鑰可以由–service-account-key-file選項(xiàng)指定,也可以默認(rèn)使用API Server的tls私鑰
      • 用于將Pod認(rèn)證到API Server之上,以支持集群內(nèi)的進(jìn)程與API Server通信
        • Kubernetes可使用ServiceAccount準(zhǔn)入控制器自動(dòng)為Pod關(guān)聯(lián)ServiceAccount

      OpenID Connect(OIDC)令牌

      OAuth3認(rèn)證機(jī)制,通常由底層的IaaS服務(wù)所提供

      Webhook令牌認(rèn)證

      • 是一種用于驗(yàn)證Bearer Token的回調(diào)機(jī)制
      • 能夠擴(kuò)展支持外部的認(rèn)證服務(wù),例如LDAP等

      身份認(rèn)證代理

      • 由kube-apiserver從請(qǐng)求報(bào)文的特定HTTP標(biāo)頭中識(shí)別用戶身份,相應(yīng)的標(biāo)頭名稱可由特定的選項(xiàng)配置指定
      • kube-apiserver應(yīng)該基于專用的CA來(lái)驗(yàn)證代理服務(wù)器身份

      靜態(tài)令牌認(rèn)證配置案例

      靜態(tài)令牌認(rèn)證的基礎(chǔ)配置

      • 令牌信息保存于文本文件中
        • 文件格式為CSV,每行定義一個(gè)用戶,由“令牌、用戶名、用戶ID和所屬的用戶組”四個(gè)字段組成,用戶組為可選字段
        • 格式:token,user,uid,"group1,group2,group3"
      • 由kube-apiserver在啟動(dòng)時(shí)通過(guò)–token-auth-file選項(xiàng)加載
      • 加載完成后的文件變動(dòng),僅能通過(guò)重啟程序進(jìn)行重載,因此,相關(guān)的令牌會(huì)長(zhǎng)期有效
      • 客戶端在HTTP請(qǐng)求中,通過(guò)“Authorization Bearer TOKEN”標(biāo)頭附帶令牌令牌以完成認(rèn)證

      配置示例

      • ① 生成token,命令:echo "(opensslrand−hex3).(openssl rand -hex 3).(opensslrand−hex3).(openssl rand -hex 8)"
      • ② 生成static token文件
      • ③ 配置kube-apiserver加載該靜態(tài)令牌文件以啟用相應(yīng)的認(rèn)證功能
      • ④ 測(cè)試,命令:curl -k -H "Authorization: Bearer TOKEN" -k https://API_SERVER:6443/api/v1/namespaces/default/pods/

      X509 數(shù)字證書認(rèn)證

      k8s實(shí)現(xiàn)身份認(rèn)證策略及過(guò)程解析

      X509客戶端認(rèn)證依賴于PKI證書體系,kubeadm部署Kubernetes集群時(shí)會(huì)自動(dòng)生成所需要的證書,它們位于/etc/kubernetes/pki目錄下

      依賴到的PKI體系

      k8s實(shí)現(xiàn)身份認(rèn)證策略及過(guò)程解析

      另外,對(duì)Service Account的token進(jìn)行簽名還需要用到一個(gè)可選的密鑰對(duì)兒

      所有的證書

      k8s實(shí)現(xiàn)身份認(rèn)證策略及過(guò)程解析

      • 各kubelet的證書可在Bootstrap過(guò)程中自動(dòng)生成證書簽署請(qǐng)求,而后由Kubernetes CA予以簽署
      • 各kube-proxy、kube-scheduler和kube-controller-manager也都有相應(yīng)的數(shù)字證書以完成向API Server的身份認(rèn)證

      X509數(shù)字證書認(rèn)證測(cè)試

      創(chuàng)建客戶端私鑰和證書簽署請(qǐng)求,為了便于說(shuō)明問(wèn)題,以下操作在master節(jié)點(diǎn)上以/etc/kubernetes/為工作目錄

      1 生成私鑰: (umask 077; openssl genrsa -out ./pki/mason.key 4096)

      2 創(chuàng)建證書簽署請(qǐng)求: openssl req -new -key ./pki/mason.key -out ./pki/mason.csr -subj "/CN=mason/O=developers"

      3 由Kubernetes CA簽署證書: openssl x509 -req -days 365 -CA ./pki/ca.crt -CAkey ./pki/ca.key -CAcreateserial -in ./pki/mason.csr -out ./pki/mason.crt

      4 將pki目錄下的mason.crt、mason.key和ca.crt復(fù)制到某部署了kubectl的主機(jī)上,即可進(jìn)行測(cè)試

      • 這里以k8s-node01為示例;只需要復(fù)制mason.crt和mason.key即可,因?yàn)榧汗ぷ鞴?jié)點(diǎn)上已經(jīng)有cr.crt文件
      • 命令:scp -rp ./pki/{mason.crt,mason.key} k8s-node01:/etc/kubernetes/pki

      以上就是k8s實(shí)現(xiàn)身份認(rèn)證策略及過(guò)程解析的詳細(xì)內(nèi)容,更多關(guān)于k8s 身份認(rèn)證的資料請(qǐng)關(guān)注其它相關(guān)文章!

      分享到:
      標(biāo)簽:服務(wù)器 策略 解析 身份認(rèn)證 過(guò)程
      用戶無(wú)頭像

      網(wǎng)友整理

      注冊(cè)時(shí)間:

      網(wǎng)站:5 個(gè)   小程序:0 個(gè)  文章:12 篇

      • 51998

        網(wǎng)站

      • 12

        小程序

      • 1030137

        文章

      • 747

        會(huì)員

      趕快注冊(cè)賬號(hào),推廣您的網(wǎng)站吧!
      最新入駐小程序

      數(shù)獨(dú)大挑戰(zhàn)2018-06-03

      數(shù)獨(dú)一種數(shù)學(xué)游戲,玩家需要根據(jù)9

      答題星2018-06-03

      您可以通過(guò)答題星輕松地創(chuàng)建試卷

      全階人生考試2018-06-03

      各種考試題,題庫(kù),初中,高中,大學(xué)四六

      運(yùn)動(dòng)步數(shù)有氧達(dá)人2018-06-03

      記錄運(yùn)動(dòng)步數(shù),積累氧氣值。還可偷

      每日養(yǎng)生app2018-06-03

      每日養(yǎng)生,天天健康

      體育訓(xùn)練成績(jī)?cè)u(píng)定2018-06-03

      通用課目體育訓(xùn)練成績(jī)?cè)u(píng)定