k8s 安全原理
部署态的安全控制:api
1.认证 authentication安全
x509 ,sa,username/password网络
x509 启动参数:--client-ca-file=ca.crt (指定根证书)spa
service account 启动参数:--service-account-key-file=key.pem (用以生成token),由controller建立,pod用sa中的token 访问apirest
认证方式有多种,一种经过便可,输出userinfo;而后基于userinfo 进行鉴权对象
2.鉴权 authorizationtoken
RBAC ,ABAC, Nodeip
rbac: role,rolebinding (做用于namespace);clusterRole,clusterRoleBinding部署
3.Admission(PodSecurityPolicy)openshift
admin 用户建立podsercurityPolicy,决定能建立什么样的pod;容许挂载什么volume
;容许使用什么网络(例如直接使用主机网络hostnetwork)
它是一个k8s对象;貌似相似于openshift中的SCC的对象,restricted,privileged
4.Pod SecurityContext
pod .yaml 文件中的对象
有容器级别 与pod 级别;在容器级别有系统调用权限设置例如时钟设置等
属性:privileged;runAsUser;fsGroup 等
运行态的安全控制
5.Network policy
k8s 的一种对象; 用于集群项目间的访问控制,ip 白名单什么的
Ingress :入口请求控制
Egress :出口请求控制
安全持久化保存键值etcd
- 1. k8s安全
- 2. k8s原理
- 3. 理解k8s原理
- 4. K8S--集群安全
- 5. 20200115 k8s的原理
- 6. k8s基本原理
- 7. k8s网络原理
- 8. K8S工做原理
- 9. Linux----K8s的安全使用
- 10. K8s Service原理介绍
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • MyBatis的工作原理 - MyBatis教程
- • ☆技术问答集锦(13)Java Instrument原理
- • Java Agent入门实战(三)-JVM Attach原理与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 安装cuda+cuDNN
- 2. GitHub的使用说明
- 3. phpDocumentor使用教程【安装PHPDocumentor】
- 4. yarn run build报错Component is not found in path “npm/taro-ui/dist/weapp/components/rate/index“
- 5. 精讲Haproxy搭建Web集群
- 6. 安全测试基础之MySQL
- 7. C/C++编程笔记:C语言中的复杂声明分析,用实例带你完全读懂
- 8. Python3教程(1)----搭建Python环境
- 9. 李宏毅机器学习课程笔记2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里云ECS配置速记
- 1. k8s安全
- 2. k8s原理
- 3. 理解k8s原理
- 4. K8S--集群安全
- 5. 20200115 k8s的原理
- 6. k8s基本原理
- 7. k8s网络原理
- 8. K8S工做原理
- 9. Linux----K8s的安全使用
- 10. K8s Service原理介绍