关键词:
API Server
0、API Server概念
kube-apiserver是Kubernetes最重要的核心组件之一,主要提供以下的功
能
- 提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更
等 - 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd)
- 属于通信枢纽,各个k8s模块交互中心
Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括 认证、授权以及准入控制(Admission Control) 等。
访问控制细节
max-in-flight:设置API Server处理请求上限
1、认证
开启TLS时,所有的请求都需要首先认证。Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的username会传入授权模块做进一步授权验证;而对于认证失败的请求则返回HTTP 401。
-
X509证书
使用X509客户端证书只需要API Server启动时配置–client-ca-file=SOMEFILE。在证书认证时,其CN域用作用户名,而组织机构域则用作group名。 -
静态Token文件
- 使用静态Token文件认证只需要API Server启动时配置–token-auth-file=SOMEFILE。
- 该文件为csv格式,每行至少包括三列token,username,user id,
token,user,uid,"group1,group2,group3”
-
引导Token
- 为了支持平滑地启动引导新的集群,Kubernetes 包含了一种动态管理的持有者令牌类型, 称作 启动引导令牌(Bootstrap Token)。
- 这些令牌以 Secret 的形式保存在 kube-system 名字空间中,可以被动态管理和创建。
- 控制器管理器包含的 TokenCleaner 控制器能够在启动引导令牌过期时将其删除。
- 在使用kubeadm部署Kubernetes时,可通过kubeadm token list命令查询。
-
静态密码文件
- 需要API Server启动时配置–basic-auth-file=SOMEFILE,文件格式为csv,每行至少三列password, user, uid,后面是可选的group名
password,user,uid,"group1,group2,group3”
- 需要API Server启动时配置–basic-auth-file=SOMEFILE,文件格式为csv,每行至少三列password, user, uid,后面是可选的group名
-
ServiceAccount
- ServiceAccount是Kubernetes自动生成的,并会自动挂载到容器的/run/secrets/kubernetes.io/serviceaccount目录中。
kubectl get serviceaccount default -o yaml
- ServiceAccount是Kubernetes自动生成的,并会自动挂载到容器的/run/secrets/kubernetes.io/serviceaccount目录中。
OpenID
- OAuth 2.0的认证机制
Webhook 令牌身份认证
- –authentication-token-webhook-config-file 指向一个配置文件,其中描述 如何访问远程的 Webhook 服务。
- –authentication-token-webhook-cache-ttl 用来设定身份认证决定的缓存时间。 默认时长为 2 分钟。
匿名请求
- 如果使用AlwaysAllow以外的认证模式,则匿名请求默认开启,但可用–anonymous-auth=false禁止匿名请求。
基于webhook的认证服务集成
构建符合Kubernetes规范的认证服务
https://github.com/cncamp/101/tree/master/module6/basic-auth
1、开发认证服务
2、配置apiserver
2、鉴权
授权主要是用于对集群资源的访问控制,通过检查请求包含的相关属性值,与相对应的访问策略相比较,API请求必须满足某些策略才能被处理。跟认证类似,Kubernetes也支持多种授权机制,并支持同时开启多个授权插件(只要有一个验证通过即可)。如果授权成功,则用户的请求会发送到准入控制模块做进一步的请求验证;对于授权失败的请求则返回HTTP 403。
Kubernetes授权仅处理以下的请求属性:
- user, group, extra
- API、请求方法(如get、post、update、patch和delete)和请求路径(如/api)
- 请求资源和子资源
- Namespace
- API Group
目前,Kubernetes支持以下授权插件:
- ABAC
- RBAC
- Webhook
- Node
RBAC 的授权策略可以利用 kubectl 或者 Kubernetes API 直接进行配置。RBAC 可以授权给用户,让用户有权进行授权管理,这样就可以无需接触节点,直接进行授权管理。RBAC 在 Kubernetes中被映射为 API 资源和操作。
Role与ClusterRole
Role(角色)是一系列权限的集合,例如一个角色可以包含读取 Pod 的权限和列出 Pod 的权限。Role只能用来给某个特定namespace中的资源作鉴权,对多namespace和集群级的资源或者是非资源类的API(如/healthz)使用ClusterRole。
1、创建角色
2、binding绑定
账户/组的管理
角色绑定(Role Binding)是将角色中定义的权限赋予一个或者一组用户。它包含若干 主体(用户、组或服务账户)的列表和对这些主体所获得的角色的引用。
组的概念:
- 当与外部认证系统对接时,用户信息(UserInfo)可包含Group信息,授权可针对用户群组
- 当对ServiceAccount授权时,Group代表某个Namespace下的所有ServiceAccount,(如下下图右侧)
组与ROLE角色的概念
认证系统通常会说属于哪个组的,角色是指该角色的权限。 该组是什么角色,拥有什么权限。
3、准入
Mutating
Validating
Admission
准入控制
为资源增加自定义属性
- 作为多租户集群方案中的一环,我们需要在namespace的准入控制中,获取用户信息,并将用户信息更新的namespace的annotation
只有当namespace中有有效用户信息时,我们才可以在namespace创建时,自动绑定用户权限,namespace才可用。
准入控制(Admission Control)在授权后对请求做进一步的验证或添加默认参数。不同于授权和认证只关心请求的用户和操作,准入控制还处理请求的内容,并且仅对创建、更新、删除或连接(如代理)等有效,而对读操作无效。
准入控制支持同时开启多个插件,它们依次调用,只有全部插件都通过的请求才可以放过进入系统。
准入控制插件
-
AlwaysAdmit: 接受所有请求。
-
AlwaysPullImages: 总是拉取最新镜像。在多租户场景下非常有用。
-
DenyEscalatingExec: 禁止特权容器的exec和attach操作。
-
ImagePolicyWebhook: 通过webhook决定image策略,需要同时配置
--admission-control-config-file -
ServiceAccount:自动创建默认ServiceAccount,并确保Pod引用的ServiceAccount已经存在
-
SecurityContextDeny:拒绝包含非法SecurityContext配置的容器
-
ResourceQuota:限制Pod的请求不会超过配额,需要在namespace中创建一个ResourceQuota对象
-
LimitRanger:为Pod设置默认资源请求和限制,需要在namespace中创建一个LimitRange对象
-
InitialResources:根据镜像的历史使用记录,为容器设置默认资源请求和限制
-
NamespaceLifecycle:确保处于termination状态的namespace不再接收新的对象创建请求,并拒绝请求不存在的namespace
-
DefaultStorageClass:为PVC设置默认StorageClass
-
DefaultTolerationSeconds:设置Pod的默认forgiveness toleration为5分钟
-
PodSecurityPolicy:使用Pod Security Policies时必须开启
-
NodeRestriction:限制kubelet仅可访问node、endpoint、pod、service以及secret、configmap、PV和PVC等相关的资源
除默认的准入控制插件以外,Kubernetes预留了准入控制插件的扩展点,用户可自定义准入控制插件实现自定义准入功能
- MutatingWebhookConfiguration:变形插件,支持对准入对象的修改
- ValidatingWebhookConfiguration:校验插件,只能对准入对象合法性进行校验,不能修改
4、限流
计数器固定窗口算法
原理就是对一段固定时间窗口内的请求进行计数,如果请求数超过了阈值,则舍弃该请求;
如果没有达到设定的阈值,则接受该请求,且计数加1。
当时间窗口结束时,重置计数器为0。
在固定窗口的基础上,将一个计时窗口分成了若干个小窗口,然后每个小窗口维护一个独立的计数器。
当请求的时间大于当前窗口的最大时间时,则将计时窗口向前平移一个小窗口。
平移时,将第一个小窗口的数据丢弃,然后将第二个小窗口设置为第一个小窗口,同时在最后面新增一个小窗口,将新的请求放在新增的小窗口中。
同时要保证整个窗口中所有小窗口的请求数目之后不能超过设定的阈值。
漏斗算法
漏斗算法的原理也很容易理解。请求来了之后会首先进到漏斗里,然后漏斗以恒定的速率将请求流出进行处理,从而起到平滑流量的作用。
当请求的流量过大时,漏斗达到最大容量时会溢出,此时请求被丢弃。
在系统看来,请求永远是以平滑的传输速率过来,从而起到了保护系统的作用。
令牌桶算法
- 令牌桶算法是对漏斗算法的一种改进,除了能够起到限流的作用外,还允许一定程度的流量突发。
- 在令牌桶算法中,存在一个令牌桶,算法中存在一种机制以恒定的速率向令牌桶中放入令牌。
- 令牌桶也有一定的容量,如果满了令牌就无法放进去了。
- 当请求来时,会首先到令牌桶中去拿令牌,如果拿到了令牌,则该请求会被处理,并消耗掉拿到的令牌;
- 如果令牌桶为空,则该请求会被丢弃。
APIServer对象的实现
后续详细内容看PPT
云原生训练营模块五kubernetes控制平面组件:etcd(代码片段)
etcd----------Part1----------etcd概述etcd功能与场景服务注册与发现,消息发布与订阅Etcd的安装etcd工具练习Raft协议❤etcd基于Raft的一致性选举方法日志复制安全性失效处理wal日志----------Part2----------etcdv3存储,Watch以及过期机制... 查看详情
云原生训练营模块五kubernetes控制平面组件:etcd(代码片段)
etcd----------Part1----------etcd概述etcd功能与场景服务注册与发现,消息发布与订阅Etcd的安装etcd工具练习Raft协议❤etcd基于Raft的一致性选举方法日志复制安全性失效处理wal日志----------Part2----------etcdv3存储,Watch以及过期机制... 查看详情
云原生训练营模块四kubernetes架构原则和对象设计(代码片段)
Kubernetes架构原则和对象设计K8s安装K8s概念K8s架构控制器的工作流程了解KubectlKubernetes生态系统常用Kubernetes对象及其分组核心技术概念和API对象TypeMeta核心对象概览课后练习K8s安装CentOS7利用Kubeadm快速部署Kubernetes集群K8s概念Kubernete... 查看详情
云原生训练营模块八kubernetes生命周期管理和服务发现(代码片段)
生命周期管理和服务发现1、深入理解Pod的生命周期管理Pod的生命周期pod创建的时候,经历了哪些过程?initCPod状态计算细节如何确保Pod的高可用基于Taint的Evictions健康探针前置后置Post-start&Pre-stop钩子容器应用可能面临... 查看详情
云原生训练营模块八kubernetes生命周期管理和服务发现(代码片段)
生命周期管理和服务发现1、深入理解Pod的生命周期管理Pod的生命周期pod创建的时候,经历了哪些过程?initCPod状态计算细节如何确保Pod的高可用基于Taint的Evictions健康探针前置后置Post-start&Pre-stop钩子容器应用可能面临... 查看详情
云原生训练营模块一1.1go语言特性(代码片段)
Go语言特性如何学习云原生技术?构建高可用微服务架构统一思想Go语言Go语言特点Go语言编译环境控制结构数据结构如何学习云原生技术?代码驱动掌握Go语言编程能力从点到面学习容器技术cgroup,namespace网络协议栈... 查看详情
kubernetes云原生实战01kubernetes高可用部署架构
大家好,我是飘渺。从今天开始我们将正式开始Kubernetes云原生实战系列,欢迎持续关注。Kubernets核心组件Kubernetes中组件众多,要完全介绍清楚估计要写上厚厚一本书,我们实战系列主要记住几个核心组件就行,即两种节点,三... 查看详情
kubernetes云原生实战01kubernetes高可用部署架构
大家好,我是飘渺。从今天开始我们将正式开始Kubernetes云原生实战系列,欢迎持续关注。Kubernets核心组件Kubernetes中组件众多,要完全介绍清楚估计要写上厚厚一本书,我们实战系列主要记住几个核心组件就行,即两种节点,三... 查看详情
云原生训练营模块一go语言特性(代码片段)
Go语言特性如何学习云原生技术?构建高可用微服务架构统一思想Go语言Go语言特点Go语言编译环境控制结构数据结构生产者与消费者代码如何学习云原生技术?代码驱动掌握Go语言编程能力从点到面学习容器技术cgroup,... 查看详情
kuberntes云原生实战一高可用部署架构(代码片段)
大家好,我是飘渺。从今天开始我们将正式开始Kubernetes云原生实战系列,欢迎持续关注。Kubernets核心组件Kubernetes中组件众多,要完全介绍清楚估计要写上厚厚一本书,我们实战系列主要记住几个核心组件就行ÿ... 查看详情
kuberntes云原生实战一高可用部署架构(代码片段)
大家好,我是飘渺。从今天开始我们将正式开始Kubernetes云原生实战系列,欢迎持续关注。Kubernets核心组件Kubernetes中组件众多,要完全介绍清楚估计要写上厚厚一本书,我们实战系列主要记住几个核心组件就行ÿ... 查看详情
云原生技术kubernates基础组件(第六集)(代码片段)
1.整体概述一个kubernetes集群主要是由控制节点(master)、工作节点(node)构成,每个节点上都会安装不同的组件。1.1Master集群的控制平面,负责集群的决策(管理)ApiServer:资源操作的唯一入口,接收用户输入的命令,提... 查看详情
云原生之kubernetes实战kubernetes集群的证书管理
【云原生之kubernetes实战】kubernetes集群的证书管理一、kubernetes证书的分类二、检查k8s集群状态三、检查相关证书过期时间1.查看sealos部署的k8s集群证书过期时间2.查看kubeadm部署的k8s集群过期时间3.证书有效期分析四、备份相关证... 查看详情
云原生kubernetes入门详细讲解
目录1、Kubernetes是什么2、Kubernetes不是什么3、Kubernetes架构与分层4、Kubernetes集群架构5、Kubernetes集群组件5.1、K8s在Master上的组件5.2、K8s在Node上的组件6、KubernetesAPI 在云原生技术与生态快速发展的今天,越来越多的IT厂商... 查看详情
云原生安全系列4:6个kubernetes安全最佳实践
引言:Kubernetes为我们提供了一套很好的核心软件安全原则,但我们仍然需要理解并实施它们。对于Kubernetes集群分布式部署,攻击向量的数量也会增加,了解并尽可能限制这些攻击面的最佳实践非常重要。即使在使用托管的Kuberne... 查看详情
云原生kubernetes系列第三篇二进制部署单节点kubernetes(k8s)v1.20(不要因为别人都在交卷,自己就乱写答案)(代码片段)
...建用于生成CA证书、相关组件的证书和私钥的目录5.3上传kubernetes压缩包5.4创建认证文件5.5开启apiserver服务5.6启动scheduler服务5.7启动controller-manager服务5.8其他六、部署WorkerNode组件七、部署网络组件八、部署CoreDNS九、部署Dashboard总... 查看详情
云原生|kubernetes篇kubernetes原理与安装(代码片段)
...://bbs.csdn.net/forums/lansonhttps://bbs.csdn.net/forums/lanson文章目录Kubernetes原理与安装一、集群原理1、master-node架构2、工作原理3、原理分解二、组件交互原理三、安装1、理解2、执行Kubernetes原理与安装一、集群原理1、master-node架构master和... 查看详情
云原生之kubernetes实战安装kubeopertor教程
【云原生之kubernetes实战】部署kubeopertor教程一、kubeopertor介绍1.kubeopertor简介2.kubeopertor特点二、检查本地Docker状态三、kubeopertor系统架构四、kubeopertor最小配置要求五、初始环境配置1.关闭swap2.关闭防火墙3.关闭selinux六、安装kubeoper... 查看详情