Инструменты пользователя

Инструменты сайта

Вы посетили:
kubernetes:безопасность_в_кластере

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
kubernetes:безопасность_в_кластере [2022/02/15 18:19] rootkubernetes:безопасность_в_кластере [2024/12/21 19:00] (текущий) – внешнее изменение 127.0.0.1
Строка 10: Строка 10:
   * сертификат;   * сертификат;
   * сторонний сервис аутентификации (ldap, kerberos, etc).   * сторонний сервис аутентификации (ldap, kerberos, etc).
-===== Парольная аутентфиикация=====+===== Парольная аутентификация=====
 Что бы указать kube-apiserver.service на необходимость использования статических паролей, необходимо передать в параметрах запуска ключ <color #ffc90e>--basic-auth-file=user-details.csv</color> с файлом, содержащим список вида <color #ffc90e>password, username, userid, group*</color>: Что бы указать kube-apiserver.service на необходимость использования статических паролей, необходимо передать в параметрах запуска ключ <color #ffc90e>--basic-auth-file=user-details.csv</color> с файлом, содержащим список вида <color #ffc90e>password, username, userid, group*</color>:
 <code csv user-details.csv> <code csv user-details.csv>
Строка 50: Строка 50:
 spec: spec:
   groups:   groups:
-  - system: authenticated+  - system:masters 
 +  - system:authenticated
   usages:   usages:
   - digital signature   - digital signature
   - key encipherment   - key encipherment
-  - server auth+  - client auth
   request:   request:
     LS0tLS1CRUdJTiBDRVJUSUZJQ0FURSBSRVFVRVNULS0tLS0KTUlJQ1dUQ0NBVUVDQVFBd0ZERVNN     LS0tLS1CRUdJTiBDRVJUSUZJQ0FURSBSRVFVRVNULS0tLS0KTUlJQ1dUQ0NBVUVDQVFBd0ZERVNN
Строка 72: Строка 73:
     MytCcWlDaEdlQjZtbTgwQVgKTnJMTHZDOVRkVTBlN0Uvek1KQ1Z0V2lVbGlIOFNET3dyVVlzaWtJ     MytCcWlDaEdlQjZtbTgwQVgKTnJMTHZDOVRkVTBlN0Uvek1KQ1Z0V2lVbGlIOFNET3dyVVlzaWtJ
     PQotLS0tLUVORCBDRVJUSUZJQ0FURSBSRVFVRVNULS0tLS0K     PQotLS0tLUVORCBDRVJUSUZJQ0FURSBSRVFVRVNULS0tLS0K
 +</code>
 +<code bash>
 +kubectl get csr
 +kubectl certificate approve new_admin
 +kubectl get csr new_admin -o yaml
 +echo "coded certificate" | base64 --decode > new_admin.crt
 </code> </code>
  
 +===== RBAC =====
 +==== Создание роли ====
 +<code yaml pod-reader-role.yaml>
 +apiVersion: rbac.authorization.k8s.io/v1
 +kind: Role
 +metadata:
 +  namespace: default
 +  name: pod-reader
 +rules:
 +- apiGroups: [""] #
 +  resources: ["pods"]
 +  verbs: ["get", "watch", "list"]
 +- apiGroups: [""] #
 +  resources: ["ConfigMap"]
 +  verbs: ["get", "create"]
 +</code>
 +==== Биндинг роли к конкретному пользователю ====
 +
 +<code yaml pod-reader-role.yaml>
 +apiVersion: rbac.authorization.k8s.io/v1
 +kind: RoleBinding
 +metadata:
 +  name: pod-reader-binding
 +  namespace: default
 +subjects:
 +# You can specify more than one "subject"
 +- kind: User
 +  name: jane # "name" is case sensitive
 +  apiGroup: rbac.authorization.k8s.io
 +roleRef:
 +  # "roleRef" specifies the binding to a Role / ClusterRole
 +  kind: Role #this must be Role or ClusterRole
 +  name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
 +  apiGroup: rbac.authorization.k8s.io
 +</code>
 +==== Просмотр сведений RBAC  ====
 +<code bash>
 +kubectl get roles
 +kubectl get rolebindings
 +kubectl describe role developer
 +kubectl describe rolebinding dev-users-rolebinding
 +</code>
 +==== Проверка доступа ====
 +<code bash>
 +kubectl auth can-i create deployments
 +kubectl auth can-i delete nodes
 +kubectl auth can-i create pods --as sample-user
 +</code>
 +===== Кластерные роли =====
 +Кластерные роли, в отличие от обычных, не привязаны к ресурсам в определенном namespace.
 +==== Кластерная роль ====
 +<code yaml cluster-role.yaml>
 +apiVersion: rbac.authorization.k8s.io/v1
 +kind: ClusterRole
 +metadata:
 +  name: cluster-administrator
 +rules:
 +- apiGroups: [""]
 +  resources: ["nodes"]
 +  verbs: ["list","get","create","delete"]
 +</code>
 +==== Привязка кластерной роли к пользователю ====
 +<code yaml cluster-role-binding.yaml>
 +apiVersion: rbac.authorization.k8s.io/v1
 +# This cluster role binding allows anyone in the "manager" group to read secrets in any namespace.
 +kind: ClusterRoleBinding
 +metadata:
 +  name: cluster-admin-role-binding
 +subjects:
 +- kind: User
 +  name: cluster-administrator # Name is case sensitive
 +  apiGroup: rbac.authorization.k8s.io
 +- kind: Group
 +  name: cluster-admins # Name is case sensitive
 +  apiGroup: rbac.authorization.k8s.io
 +roleRef:
 +  kind: ClusterRole
 +  name: cluster-administrator
 +  apiGroup: rbac.authorization.k8s.io
 +</code>
 +
 +===== Service Accounts =====
 +По умолчанию в каждом namespace уже существует ServiceAccount с именем <color #ed1c24>default</color>, который автоматически цепляется каждым создаваемым Pod'ом. При этом, default аккаунт сильно порезан в правах.
 +
 +Создать ServiceAccount
 +<code bash>kubectl create serviceaccount test-sa</code>
 +Получить список ServiceAccount'ов
 +<code bash>kubectl get serviceaccount</code>
 +Вывести полную информацию о ServiceAccount'е
 +<code bash>kubectl describe serviceaccount test-sa</code>
 +Получить токен безопасности определенного ServiceAccount'а
 +<code bash>kubectl describe secret test-sa-token-kbbdm</code>
 +
 +Применить ServiceAccount к поду:
 +<code yaml pod.yaml>
 +apiVersion: v1
 +kind: Pod
 +metadata:
 +  name: simplePod
 +spec:
 +  containers:
 +  - name: simplePod
 +    image: simplePod
 +  serviceAccountName: simplePod-sa 
 +</code>
kubernetes/безопасность_в_кластере.1644938399.txt.gz · Последнее изменение: 2024/12/21 19:00 (внешнее изменение)