Kubernetes(k8s)手册
Kubernetes(k8s)手册
  1. Kubernetes 入门
    1. Kubernetes 生产环境
      1. Kubernetes 容器运行时
      2. Kubernetes 使用部署工具安装Kubernetes
        1. Kubernetes 使用kubeadm引导集群
          1. Kubernetes 安装kubeadm
          2. Kubernetes 对kubeadm进行故障排查
          3. Kubernetes 使用kubeadm创建集群
          4. Kubernetes 使用kubeadm API定制组件
          5. Kubernetes 高可用拓扑选项
          6. Kubernetes 利用kubeadm创建高可用集群
          7. Kubernetes 使用kubeadm创建一个高可用etcd集群
          8. Kubernetes 使用kubeadm配置集群中的每个kubelet
          9. Kubernetes 使用kubeadm支持双协议栈
        2. Kubernetes 使用Kops安装Kubernetes
        3. Kubernetes 使用Kubespray安装Kubernetes
      3. Kubernetes Windows Kubernetes
        1. Kubernetes 对Windows的支持
        2. Kubernetes Windows容器的调度指南
    2. Kubernetes 最佳实践
      1. Kubernetes 运行于多可用区环境
      2. Kubernetes 大规模集群的注意事项
      3. Kubernetes 校验节点设置
      4. Kubernetes PKI证书和要求
      5. Kubernetes 强制实施Pod安全性标准
  2. Kubernetes 概述
    1. Kubernetes 简介
    2. Kubernetes 组件
    3. Kubernetes API
  3. Kubernetes 安装
    1. Kubernetes Linux安装
    2. Kubernetes macOS安装
    3. Kubernetes Windows安装
  4. Kubernetes 对象
    1. Kubernetes 对象简介
    2. Kubernetes 对象管理
    3. Kubernetes 对象名称和IDs
    4. Kubernetes 名字空间
    5. Kubernetes 标签和选择算符
    6. Kubernetes 注解
    7. Kubernetes Finalizers
    8. Kubernetes 字段选择器
    9. Kubernetes 属主与附属
    10. Kubernetes 推荐使用的标签
  5. Kubernetes 架构
    1. Kubernetes 节点
    2. Kubernetes 控制面到节点通信
    3. Kubernetes 控制器
    4. Kubernetes 云控制器管理器
    5. Kubernetes 垃圾收集
    6. Kubernetes 容器运行时接口(CRI)
  6. Kubernetes 容器
    1. Kubernetes 镜像
    2. Kubernetes 容器环境
    3. Kubernetes 容器运行时类(Runtime Class)
    4. Kubernetes 容器生命周期回调
  7. Kubernetes Pods
    1. Kubernetes Pod的生命周期
    2. Kubernetes Init容器
    3. Kubernetes Pod拓扑分布约束
    4. Kubernetes 干扰(Disruptions)
    5. Kubernetes 临时容器
  8. Kubernetes 工作负载资源
    1. Kubernetes Deployments
    2. Kubernetes ReplicaSet
    3. Kubernetes StatefulSets
    4. Kubernetes DaemonSet
    5. Kubernetes Jobs
    6. Kubernetes 已完成 Job 的自动清理
    7. Kubernetes CronJob
    8. Kubernetes ReplicationController
  9. Kubernetes 服务、负载均衡和联网
    1. Kubernetes 使用拓扑键实现拓扑感知的流量路由
    2. Kubernetes 服务
    3. Kubernetes Pod 与 Service 的 DNS
    4. Kubernetes 使用 Service 连接到应用
    5. Kubernetes Ingress
    6. Kubernetes Ingress 控制器
    7. Kubernetes 拓扑感知提示
    8. Kubernetes 服务内部流量策略
    9. Kubernetes 端点切片(Endpoint Slices)
    10. Kubernetes 网络策略
    11. Kubernetes IPv4/IPv6 双协议栈
  10. Kubernetes 存储
    1. Kubernetes 卷
    2. Kubernetes 持久卷
    3. Kubernetes 投射卷
    4. Kubernetes 临时卷
    5. Kubernetes 存储类
  11. Kubernetes 配置
    1. Kubernetes 配置最佳实践
    2. Kubernetes ConfigMap
    3. Kubernetes Secret
    4. Kubernetes 为 Pod 和容器管理资源
    5. Kubernetes 使用 kubeconfig 文件组织集群访问
    6. Kubernetes Windows 节点的资源管理
  12. Kubernetes 安全
    1. Kubernetes 云原生安全概述
    2. Kubernetes Pod安全性标准
    3. Kubernetes Pod安全性准入
    4. Kubernetes Pod安全策略
    5. Kubernetes Windows节点的安全性
    6. Kubernetes API访问控制
    7. Kubernetes 基于角色的访问控制良好实践
  13. Kubernetes 策略
    1. Kubernetes 限制范围
    2. Kubernetes 资源配额
    3. Kubernetes 进程ID约束与预留
    4. Kubernetes 节点资源管理器
  14. Kubernetes 调度,抢占和驱逐
    1. Kubernetes 调度器
    2. Kubernetes 将Pod指派给节点
    3. Kubernetes Pod开销
    4. Kubernetes 污点和容忍度
    5. Kubernetes Pod优先级和抢占
    6. Kubernetes 节点压力驱逐
    7. Kubernetes API发起的驱逐
    8. Kubernetes 扩展资源的资源装箱
    9. Kubernetes 调度框架
    10. Kubernetes 调度器性能调优
  15. Kubernetes 集群管理
    1. Kubernetes 管理资源
    2. Kubernetes 集群网络系统
    3. Kubernetes 系统组件指标
    4. Kubernetes 日志架构
    5. Kubernetes 系统日志
    6. Kubernetes 追踪系统组件
    7. Kubernetes 代理
    8. Kubernetes API优先级和公平性
    9. Kubernetes 安装扩展(Addons)
  16. Kubernetes 扩展
    1. Kubernetes 扩展API
      1. Kubernetes 定制资源
      2. Kubernetes 通过聚合层扩展API
    2. Kubernetes Operator模式
    3. Kubernetes 计算、存储和网络扩展
      1. Kubernetes 网络插件
      2. Kubernetes 设备插件
    4. Kubernetes 服务目录
  17. Kubernetes 应用故障排除
    1. Kubernetes 调试Pod
    2. Kubernetes 调试Service
    3. Kubernetes 调试StatefulSet
    4. Kubernetes 调试Init容器
    5. Kubernetes 确定Pod失败的原因
    6. Kubernetes 获取正在运行容器的Shell
    7. Kubernetes 调试运行中的Pod
  18. Kubernetes 集群故障排查
    1. Kubernetes 资源指标管道
    2. Kubernetes 节点健康监测
    3. Kubernetes 使用crictl对Kubernetes节点进行调试
    4. Kubernetes Windows调试提示
    5. Kubernetes 使用telepresence在本地开发和调试服务
    6. Kubernetes 审计
    7. Kubernetes 资源监控工具
  19. Kubernetes 管理集群
    1. Kubernetes 从dockershim迁移
      1. Kubernetes 将节点上的容器运行时从Docker Engine改为containerd
      2. Kubernetes 将Docker Engine节点从dockershim迁移到cri-dockerd
      3. Kubernetes CNI插件相关错误故障排除
      4. Kubernetes 查明节点上所使用的容器运行时
      5. Kubernetes 检查弃用Dockershim是否对你有影响
      6. Kubernetes 从dockershim迁移遥测和安全代理
    2. Kubernetes 用kubeadm进行管理
      1. Kubernetes 使用kubeadm进行证书管理
      2. Kubernetes 配置cgroup驱动
      3. Kubernetes 重新配置kubeadm集群
      4. Kubernetes 升级kubeadm集群
      5. Kubernetes 添加Windows节点
      6. Kubernetes 升级Windows节点
    3. Kubernetes 手动生成证书
    4. Kubernetes 管理内存,CPU和API资源
      1. Kubernetes 为命名空间配置默认的内存请求和限制
      2. Kubernetes 为命名空间配置默认的CPU请求和限制
      3. Kubernetes 配置命名空间的最小和最大内存约束
      4. Kubernetes 为命名空间配置CPU最小和最大约束
      5. Kubernetes 为命名空间配置内存和CPU配额
      6. Kubernetes 配置命名空间下Pod配额
    5. Kubernetes 安装网络策略驱动
      1. Kubernetes 使用Antrea提供NetworkPolicy
      2. Kubernetes 使用Calico提供NetworkPolicy
      3. Kubernetes 使用Cilium提供NetworkPolicy
      4. Kubernetes 使用kube-router提供NetworkPolicy
      5. Kubernetes 使用Romana提供NetworkPolicy
      6. Kubernetes 使用Weave Net提供NetworkPolicy
    6. Kubernetes IP Masquerade Agent用户指南
    7. Kubernetes 云管理控制器
    8. Kubernetes 验证签名的容器镜像
    9. Kubernetes 运行 etcd 集群
    10. Kubernetes 为系统守护进程预留计算资源
    11. Kubernetes 为节点发布扩展资源
    12. Kubernetes 以非root用户身份运行Kubernetes节点组件
    13. Kubernetes 使用CoreDNS进行服务发现
    14. Kubernetes 使用KMS驱动进行数据加密
    15. Kubernetes 使用Kubernetes API访问集群
    16. Kubernetes 使用NUMA感知的内存管理器
    17. Kubernetes 保护集群
    18. Kubernetes 关键插件Pod的调度保证
    19. Kubernetes 升级集群
    20. Kubernetes 名字空间演练
    21. Kubernetes 启用/禁用Kubernetes API
    22. Kubernetes 在Kubernetes集群中使用NodeLocal DNSCache
    23. Kubernetes 在Kubernetes集群中使用sysctl
    24. Kubernetes 在运行中的集群上重新配置节点的kubelet
    25. Kubernetes 在集群中使用级联删除
    26. Kubernetes 声明网络策略
    27. Kubernetes 安全地清空一个节点
    28. Kubernetes 开发云控制器管理器
    29. Kubernetes 开启服务拓扑
    30. Kubernetes 控制节点上的CPU管理策略
    31. Kubernetes 控制节点上的拓扑管理策略
    32. Kubernetes 改变默认StorageClass
    33. Kubernetes 更改PersistentVolume的回收策略
    34. Kubernetes 自动扩缩集群DNS服务
    35. Kubernetes 自定义DNS服务
    36. Kubernetes 调试DNS问题
    37. Kubernetes 迁移多副本的控制面以使用云控制器管理器
    38. Kubernetes 通过名字空间共享集群
    39. Kubernetes 通过配置文件设置Kubelet参数
    40. Kubernetes 配置API对象配额
    41. Kubernetes 限制存储消耗
    42. Kubernetes 静态加密Secret数据
  20. Kubernetes 配置Pods和容器
    1. Kubernetes 为容器和Pod分配内存资源
    2. Kubernetes 为Windows Pod和容器配置GMSA
    3. Kubernetes 为Windows的Pod和容器配置RunAsUserName
    4. Kubernetes 为容器和Pods分配CPU资源
    5. Kubernetes 创建Windows HostProcess Pod
    6. Kubernetes 配置Pod的服务质量
    7. Kubernetes 为容器分派扩展资源
    8. Kubernetes 配置Pod以使用卷进行存储
    9. Kubernetes 配置Pod以使用PersistentVolume作为存储
    10. Kubernetes 配置Pod使用投射卷作存储
    11. Kubernetes 为Pod或容器配置安全上下文
    12. Kubernetes 为Pod配置服务账户
    13. Kubernetes 从私有仓库拉取镜像
    14. Kubernetes 配置存活、就绪和启动探测器
    15. Kubernetes 将Pod分配给节点
    16. Kubernetes 用节点亲和性把Pods分配到节点
    17. Kubernetes 配置Pod初始化
    18. Kubernetes 为容器的生命周期事件设置处理函数
    19. Kubernetes 配置Pod使用ConfigMap
    20. Kubernetes 在Pod中的容器之间共享进程命名空间
    21. Kubernetes 创建静态Pod
    22. Kubernetes 将Docker Compose文件转换为Kubernetes资源
    23. Kubernetes 从PodSecurityPolicy迁移到内置的PodSecurity准入控制器
    24. Kubernetes 使用名字空间标签来实施Pod安全性标准
    25. Kubernetes 通过配置内置准入控制器实施Pod安全标准
  21. Kubernetes 管理Kubernetes对象
    1. Kubernetes 使用配置文件对Kubernetes对象进行声明式管理
    2. Kubernetes 使用Kustomize对Kubernetes对象进行声明式管理
    3. Kubernetes 使用指令式命令管理Kubernetes对象
    4. Kubernetes 使用配置文件对Kubernetes对象进行命令式管理
    5. Kubernetes 使用kubectl patch更新API对象
  22. Kubernetes 管理Secrets
    1. Kubernetes 使用kubectl管理Secret
    2. Kubernetes 使用配置文件管理Secret
    3. Kubernetes 使用Kustomize管理Secret
  23. Kubernetes 给应用注入数据
    1. Kubernetes 为容器设置启动时要执行的命令和参数
    2. Kubernetes 为容器设置环境变量
    3. Kubernetes 定义相互依赖的环境变量
    4. Kubernetes 通过环境变量将Pod信息呈现给容器
    5. Kubernetes 通过文件将Pod信息呈现给容器
    6. Kubernetes 使用Secret安全地分发凭证
  24. Kubernetes 运行应用
    1. Kubernetes 使用Deployment运行一个无状态应用
    2. Kubernetes 运行一个单实例有状态应用
    3. Kubernetes 运行一个有状态的应用程序
    4. Kubernetes 删除StatefulSet
    5. Kubernetes 强制删除StatefulSet中的Pods
    6. Kubernetes Pod水平自动扩缩
    7. Kubernetes HorizontalPodAutoscaler演练
    8. Kubernetes 为应用程序设置干扰预算(Disruption Budget)
    9. Kubernetes 从Pod中访问Kubernetes API
    10. Kubernetes 扩缩StatefulSet
  25. Kubernetes 运行Jobs
    1. Kubernetes 使用CronJob运行自动化任务
    2. Kubernetes 使用工作队列进行粗粒度并行处理
    3. Kubernetes 使用工作队列进行精细的并行处理
    4. Kubernetes 使用索引作业完成静态工作分配下的并行处理
    5. Kubernetes 使用展开的方式进行并行处理
  26. Kubernetes 访问集群中的应用程序
    1. Kubernetes 部署和访问Kubernetes仪表板(Dashboard)
    2. Kubernetes 访问集群
    3. Kubernetes 使用端口转发来访问集群中的应用
    4. Kubernetes 使用服务来访问集群中的应用
    5. Kubernetes 使用Service把前端连接到后端
    6. Kubernetes 创建外部负载均衡器
    7. Kubernetes 列出集群中所有运行容器的镜像
    8. Kubernetes 在Minikube环境中使用NGINX Ingress控制器配置Ingress
    9. Kubernetes 为集群配置DNS
    10. Kubernetes 同Pod内的容器使用共享卷通信
    11. Kubernetes 访问集群上运行的服务
    12. Kubernetes 配置对多集群的访问
  27. Kubernetes 扩展Kubernetes
    1. Kubernetes 使用自定义资源
      1. Kubernetes 使用CustomResourceDefinition扩展Kubernetes API
      2. Kubernetes CustomResourceDefinition的版本
    2. Kubernetes 配置聚合层
    3. Kubernetes 安装一个扩展的API server
    4. Kubernetes 配置多个调度器
    5. Kubernetes 使用HTTP代理访问Kubernetes API
    6. Kubernetes 使用SOCKS5代理访问Kubernetes API
    7. Kubernetes 设置Konnectivity服务
  28. Kubernetes TLS
    1. Kubernetes 为kubelet配置证书轮换
    2. Kubernetes 手动轮换CA证书
    3. Kubernetes 管理集群中的TLS认证
  29. Kubernetes 管理集群守护进程
    1. Kubernetes 对DaemonSet执行滚动更新
    2. Kubernetes 对DaemonSet执行回滚
  30. Kubernetes 安装服务目录
    1. Kubernetes 使用Helm安装Service Catalog
    2. Kubernetes 使用SC安装服务目录
  31. Kubernetes 网络
    1. Kubernetes 使用HostAliases向Pod /etc/hosts文件添加条目
    2. Kubernetes 验证IPv4/IPv6双协议栈
  32. Kubernetes 任务
    1. Kubernetes 调度GPUs
    2. Kubernetes 管理巨页(HugePages)
    3. Kubernetes 配置kubelet镜像凭据提供程序
    4. Kubernetes 用插件扩展kubectl
  33. Kubernetes 安全
    1. Kubernetes 使用AppArmor限制容器对资源的访问
    2. Kubernetes 在集群级别应用Pod安全标准
    3. Kubernetes 在名字空间级别应用Pod安全标准
    4. Kubernetes 使用seccomp限制容器的系统调用
  34. Kubernetes 无状态应用程序
    1. Kubernetes 公开外部IP地址以访问集群中应用程序
    2. Kubernetes 示例:使用Redis部署PHP留言板应用程序
  35. Kubernetes 有状态的应用
    1. Kubernetes StatefulSet基础
    2. Kubernetes 示例:使用Persistent Volumes部署WordPress和MySQL
    3. Kubernetes 示例:使用StatefulSet部署Cassandra
    4. Kubernetes 运行ZooKeeper,一个分布式协调系统
  36. Kubernetes Service
    1. Kubernetes 使用源IP
阅读(799) 书签 (0) 我要纠错

Kubernetes 基于角色的访问控制良好实践

2022-05-23 11:55 更新

基于角色的访问控制良好实践

Kubernetes RBAC 是一项关键的安全控制,可确保集群用户和工作负载只能访问执行其角色所需的资源。 重要的是确保在为集群用户设计权限时,集群管理员了解可能发生权限提升的区域,以降低过度访问导致安全事件的风险。

一般良好做法

最低权限

理想情况下,应将最少的 RBAC 权限分配给用户和服务帐户。 仅应使用其操作明确要求的权限。 虽然每个集群都会有所不同,但可以应用的一些一般规则是:

  • 尽可能在命名空间级别分配权限。使用 RoleBindings 而不是 ClusterRoleBindings 仅在特定命名空间内授予用户权限。
  • 尽可能避免提供通配符权限,尤其是对所有资源。由于 Kubernetes 是一个可扩展的系统,提供通配符访问不仅可以授予集群中当前所有对象类型的权限,还可以授予将来创建的所有未来对象类型的权限。
  • 除非特别需要,否则管理员不应使用​cluster-admin​帐户。提供具有模拟权限的低权限帐户可以避免意外修改集群资源。
  • 避免将用户添加到 ​system:masters​ 组。作为该组成员的任何用户都会绕过所有 RBAC 权限检查,并且将始终拥有不受限制的超级用户访问权限,这不能通过删除角色绑定或集群角色绑定来撤销。顺便说一句,如果集群正在使用授权 webhook,则该组的成员身份也会绕过该 webhook(来自该组成员的用户的请求永远不会发送到 webhook)

尽量减少特权代币的分配

理想情况下,不应为 pod 分配被授予强大权限的服务帐户。 如果工作负载需要强大的权限,请考虑以下做法:

  • 限制运行强大 pod 的节点数量。 确保您运行的任何 DaemonSet 都是必需的,并且以最小权限运行以限制容器逃逸的爆炸半径。
  • 避免与不受信任或公开的 Pod 一起运行强大的 Pod。 考虑使用 Taints and Toleration、NodeAffinity 或 PodAntiAffinity 来确保 Pod 不会与不受信任或不太受信任的 Pod 一起运行。 特别注意可信度较低的 Pod 不符合 Restricted Pod 安全标准的情况。

Hardening

Kubernetes 默认提供并非每个集群都需要的访问权限。 查看默认提供的 RBAC 权限可以为安全加固提供机会。 通常,不应更改提供给系统的权限:帐户存在一些强化集群权限的选项:

  • 查看 ​system:unauthenticated​ 组的绑定并在可能的情况下删除,因为这样可以访问可以在网络级别联系 API 服务器的任何人。
  • 通过设置 ​automountServiceAccountToken: false​ 来避免默认自动挂载服务帐户令牌。为 Pod 设置此值将覆盖服务帐户设置,需要服务帐户令牌的工作负载仍然可以挂载它们。

定期审查

定期检查 Kubernetes RBAC 设置是否有冗余条目和可能的权限升级至关重要。 如果攻击者能够创建与已删除用户同名的用户帐户,他们可以自动继承已删除用户的所有权限,尤其是分配给该用户的权限。

Kubernetes RBAC - 提权风险

在 Kubernetes RBAC 中有许多权限,如果授予这些权限,则可以允许用户或服务帐户提升其在集群中的权限或影响集群外的系统。

本节旨在提供集群操作员应注意的区域的可见性,以确保他们不会无意中允许对集群的访问超出预期。

Listing secrets

通常很清楚,允许对 Secrets 的访问将允许用户阅读其内容。 同样重要的是要注意,​list​和​watch​访问也有效地允许用户透露秘密内容。 例如,当返回 List 响应时(例如,通过 ​kubectl get secrets -A -o yaml​),响应包括所有 Secrets 的内容。

工作负载创建

除非有基于 Kubernetes Pod 安全标准的限制,否则能够创建工作负载(Pod 或管理 Pod 的工作负载资源)的用户将能够访问底层节点。

可以运行特权 Pod 的用户可以使用该访问权限来获得节点访问权限,并可能进一步提升他们的权限。如果您不完全信任具有创建适当安全和隔离 Pod 的能力的用户或​​其他主体,则应强制执行基线或受限 Pod 安全标准。您可以使用 Pod 安全准入或其他(第三方)机制来实施该强制。

您还可以使用已弃用的 PodSecurityPolicy 机制来限制用户创建特权 Pod 的能力(注意,PodSecurityPolicy 计划在版本 1.25 中删除)。

在命名空间中创建工作负载还会授予对该命名空间中 Secret 的间接访问权限。在 kube-system 或类似特权的命名空间中创建一个 pod 可以授予用户对他们直接通过 RBAC 没有的 Secret 的访问权限

持久卷创建

对创建 PersistentVolume 的访问可以允许升级对底层主机的访问。 在需要访问持久存储的地方,受信任的管理员应该创建 PersistentVolume,并且受限用户应该使用 PersistentVolumeClaims 来访问该存储。

访问节点的代理子资源

有权访问节点对象的代理子资源的用户有权访问 Kubelet API,该 API 允许在他们有权访问的节点上的每个 pod 上执行命令。 此访问绕过审核日志记录和准入控制,因此在授予此资源权限之前应小心。

Escalate verb

通常,RBAC 系统会阻止用户创建比他们拥有的权限更多的集群角色。 一个例外是​escalate ​verb,拥有此权限的用户可以有效地提升他们的权限。

Bind verb

与​escalate ​verb类似,授予用户此权限允许绕过 Kubernetes 内置的针对权限升级的保护,允许用户创建与具有他们不具有的权限的角色的绑定。

Impersonate verb

此verb允许用户模拟并获得集群中其他用户的权限。 授予它时应小心,以确保不能通过模拟帐户之一获得过多的权限。

CSRs 和证书颁发

CSR API 允许具有 CSR 创建权限和更新​certificatesigningrequests/approval​权限的用户,其中签名者是 ​kubernetes.io/kube-apiserver-client​,以创建新的客户端证书,允许用户对集群进行身份验证。 这些客户端证书可以具有任意名称,包括 Kubernetes 系统组件的副本。 这将有效地允许特权升级。

Token请求

对 ​serviceaccounts/token​ 具有​create​权限的用户可以创建 TokenRequests 来为现有的服务帐户颁发令牌。

控制准入 webhook

控制验证​webhookconfigurations​或​mutatingwebhookconfigurations​的用户可以控制可以读取集群允许的任何对象的webhook,并且在改变webhook的情况下,也可以改变允许的对象。

Kubernetes RBAC - 拒绝服务风险

对象创建拒绝服务

有权在集群中创建对象的用户可能能够根据对象的大小或数量创建足够大的对象来创建拒绝服务条件,正如 Kubernetes 使用的 etcd 中所讨论的那样容易受到 OOM 攻击。 如果允许半受信任或不受信任的用户对系统进行有限访问,这可能与多租户集群特别相关。

缓解此问题的一种选择是使用资源配额来限制可以创建的对象数量。


以上内容是否对您有帮助:
Kubernetes API访问控制
Kubernetes 限制范围
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号