摘要:當(dāng)設(shè)置產(chǎn)品集群的時(shí)候,認(rèn)證和授權(quán)是兩個(gè)很重要的基本需求�����。目前來講����,支持種驗(yàn)證策略方案。始終否認(rèn)這個(gè)策略否認(rèn)所有的請求�����?��;趯傩缘脑L問控制允許靈活的用戶特定授權(quán)策略��。調(diào)出一個(gè)外部授權(quán)服務(wù)�。身份驗(yàn)證和授權(quán)機(jī)制的選擇取決于你的要求���。
當(dāng)設(shè)置產(chǎn)品Kubernetes集群的時(shí)候��,認(rèn)證和授權(quán)是兩個(gè)很重要的基本需求����。在這篇文章中���,讓我們來瀏覽一些細(xì)節(jié)��,這些細(xì)節(jié)可以幫助Kubernetes環(huán)境做好方案��。
比如說�����,你現(xiàn)在已經(jīng)引發(fā)了通過輸入yaml文件到kubectl(kubectl create-f pod.yaml)創(chuàng)建POD的命令��。這個(gè)命令被發(fā)送到有安全保障的api-server端口(http://)���,然后身份驗(yàn)證流就開始生效了����。注意��,如果你正在為api-server使用不安全的端口(http://)���,那么驗(yàn)證就無法應(yīng)用���。(http://)理想情況下生產(chǎn)環(huán)境設(shè)置中應(yīng)該避免不安全端口(http://)。
以下是這篇文章中會提到的在Kubernetes中可使用的驗(yàn)證途徑���。
客戶證書驗(yàn)證
為了使用這個(gè)方案�,api-server需要用-client-ca-file=選項(xiàng)來開啟���。
CA_CERTIFICATE_FILE肯定包括一個(gè)或者多個(gè)認(rèn)證中心����,可以被用來驗(yàn)證呈現(xiàn)給api-server的客戶端證書����?���?蛻舳俗C書的/CN將作為用戶名��。
基于令牌的身份驗(yàn)證
為了使用這個(gè)方案��,api-server需要用-token-auth-file=選項(xiàng)來開啟�����。TOKEN_FILE是個(gè)csv文件�����,每個(gè)用戶入口都有下列格式:token��,user�����,userid�����,group����。
Group的名字是隨意的。
令牌文件的例子:
生成tokens的一個(gè)非常簡單的方法就是運(yùn)行以下命令:
基于令牌的身份驗(yàn)證面臨的挑戰(zhàn)就是���,令牌是無期限的����,而且對令牌清單做任何的修改都需要重新啟動(dòng)api-server���。
基本認(rèn)證
為了使用這個(gè)方案���,api-server需要使用-basic-auth-file=選項(xiàng)來開啟。HTTP_AUTH_FILE是個(gè)csv文件����,每個(gè)用戶入口都有下列格式:password,user name�����,userid�����。目前,對AUTH_FILE的任意修都需要重新啟動(dòng)api-server����。
Open ID
Open ID支持也是可用的,但是還在試驗(yàn)階段����。
Keystone
Keystone支持也是可用的����,但是還在試驗(yàn)階段。如果你想要將keystone跟LDAP或者動(dòng)態(tài)目錄服務(wù)整合到一起�����,那么就要使用keystone認(rèn)證方法�。為了使用這個(gè)方案,api-server需要用-experimental-keystone-url=選項(xiàng)來開啟服務(wù)�。
驗(yàn)證成功之后,下一步就是找出對于驗(yàn)證用戶來說�,哪些操作是允許的。目前來講�,Kubernetes支持4種驗(yàn)證策略方案。api-server需要使用-authorization-mode=選項(xiàng)來開啟�。
始終否認(rèn)
這個(gè)策略否認(rèn)所有的請求����。
始終允許
這個(gè)策略允許所有的請求��。
基于屬性的訪問控制
ABAC允許靈活的用戶特定授權(quán)策略��。當(dāng)使用-authorization-policy-file=選項(xiàng)開啟api-sever的時(shí)候����,ABAC的策略文件需要指定。目前��,對策略文件有任何的修改都需要重啟api-server�。
ABAC策略文件樣本如下所示:
在以上例子中,策略文件中的每一行都是JSON對象�,且指定一個(gè)策略。這是從Kubernetes文檔頁面上對策略對象的簡要描述��。
版本控制特性——允許多版本和策略的轉(zhuǎn)換格式����。
api版本,字符串類型:有效值就是“abac.authorization.kubernetes.io/v1beta1”��。
kind����,字符串類型:有效值是“policy”��。
規(guī)格屬性——是一個(gè)用以下屬性的映射:
面向?qū)ο笃ヅ鋵傩?/strong>——用戶�����,字符串:用戶字符串不是從-token-auth-file�����,就是從證書文件的普通名字(CN)而來。如果你指定用戶���,那么它就肯定跟經(jīng)過身份驗(yàn)證的用戶匹配���。*跟所有請求都匹配;group,字符串:如果你指定group���,那么它肯定跟groups中經(jīng)過身份驗(yàn)證的用戶相匹配��。*跟所有請求都匹配����。
資源匹配屬性
apiGroup,字符串類型:API group���,比如拓展版本��。*跟所有APIgroup相匹配�。
命名空間��,字符串類型:命名空間字符串��。*跟所有的資源請求相匹配���。
資源�����,字符串類型:資源�����,比如pods��。*匹配所有的資源請求�。
非資源匹配屬性
nonResourcePath��,字符串類型:跟所有的非資源請求路徑相匹配(比如/version,/apis)�。*跟匹配所有非資源請求。/foo/*跟/foo/�,以及它的子路徑。
只讀����,布爾型:當(dāng)為真,也就意味著策略只應(yīng)用于獲取����,列出和監(jiān)測操作。
Webhook
調(diào)出一個(gè)外部RESTful授權(quán)服務(wù)���。
身份驗(yàn)證和授權(quán)機(jī)制的選擇取決于你的要求。然而在我的經(jīng)驗(yàn)看來��,我發(fā)現(xiàn)基于證書的身份驗(yàn)證方法���,基于身份驗(yàn)證方法的keystone(LDAP)�����,基于身份驗(yàn)證策略的ABAC���,這三種方法的靈活結(jié)合提供了所需的功能��,來培養(yǎng)Kubernetes環(huán)境�。
想要了解更多關(guān)于認(rèn)證和授權(quán)的信息���,建議瀏覽一下兩個(gè)鏈接:
認(rèn)證:這里
授權(quán):這里
原文鏈接
(如果需要轉(zhuǎn)載�����,請聯(lián)系我們哦���,尊重知識產(chǎn)權(quán)人人有責(zé);)
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/32467.html
