13|访问K8s集群的安全策略
王雪飞
你好,我是雪飞。
前面课程带你了解了 K8s 集群的大部分常用资源对象,现在你已经可以独立完整的部署各种应用、配置环境变量、网络访问以及存储资源。今天开始,我们进入到 K8s 高级篇的学习。我会带你了解 K8s 的安全相关策略和 Pod 的稳定性策略,掌握如何使用资源统计与日志来监控集群和排查故障,学习如何备份和恢复 etcd 数据以及升级 K8s 集群。
K8s 集群中承载着企业的关键应用和各种数据,它的安全性至关重要。在 CKA 考试中,常考两个安全策略,一个是访问 K8s 集群的安全策略,另一个是 Pod 相互访问的安全策略。这节课,我们先了解一下访问 K8s 集群的安全策略。
访问 K8s 集群的过程
K8s 集群是通过 API Server 组件提供外部访问接口,我们使用 kubectl 命令操作集群时,实际上是向 K8s 集群发起一个 HTTPS 请求。请求中包含了发起方、操作行为和资源对象。例如,执行一条简单的 “kubectl get pod” 命令,其中 get 是操作行为,Pod 是要操作的资源对象,而操作发起方就是集群管理员。
既然所有对集群的访问都要通过 API Server,那么我们只需要对访问 API Server 的请求进行控制就可以保证访问集群的安全性。因此,当请求到达 API Server 时,K8s 设计了一个安全请求流程,经历 3 个过程:身份认证、鉴权和准入控制,然后才能操作各种资源对象。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
1. K8s集群的安全访问策略是通过API Server进行身份认证、鉴权和准入控制来保证访问的安全性。 2. RBAC(基于角色的访问控制)是K8s中最常用的鉴权方式,通过创建角色、角色绑定等来定义用户和服务账号的权限。 3. 通过RBAC授权流程,可以为用户和服务账号分配适当的角色和权限,以实现对资源对象的操作控制。 4. 使用 Role 和 RoleBinding 角色和绑定关系来配置针对默认命名空间下的资源对象的操作权限控制。 5. 了解如何给用户和服务账号分配适当的角色和权限,以保证集群的安全访问策略。 6. 通过配置角色和绑定关系,可以熟悉RBAC授权流程,实现对用户和服务账号的授权管理。 7. RBAC授权流程适用于对用户和服务账号的授权,通过创建角色、角色绑定等来定义用户和服务账号的权限。 8. 鉴权成功后,访问API Server的最后一关是准入控制,通过准入控制器插件来确保所有对集群资源对象的更改都符合预定的策略和标准。 9. 通过RBAC机制给不同用户或服务账号分配权限,确保遵循最小权限原则。 10. API Server启动时加载准入控制器插件,在资源对象创建或修改前提供验证和修改的方法,确保符合集群安全策略。
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《零基础拿下云原生 CKA 认证》,新⼈⾸单¥59
《零基础拿下云原生 CKA 认证》,新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论