某不知名博客
carsaid
2023-12-03

限制对Kubernetes API的访问

翻译

原文:https://devopscube.com/cks-exam-guide-tips/#restrict-access-to-kubernetes-api

- name: 翻译
  desc: 原文:https://devopscube.com/cks-exam-guide-tips/#restrict-access-to-kubernetes-api
  bgColor: '#F0DFB1'
  textColor: 'green'
1
2
3
4

# 限制对Kubernetes API的访问

在 Kubernetes 生产环境方面,限制对 API 的访问非常重要。第三方服务 和 在集群内运行的服务,应该仅使用所需的权限访问 Kubernetes API。

本节的主要主题是引导令牌、RBAC、ABAC、服务帐户和准入 webhooks。
集群 API 访问方式 访问 Kubernetes 集群 API 的方式 (opens new window)
Kubernetes API 访问安全 Kubernetes API 访问控制 (opens new window)
认证 Kubernetes 身份认证概述 (opens new window)
鉴权 Kubernetes 鉴权概述 (opens new window)
准入控制器 准入控制器概述 (opens new window)
动态准入控制 动态准入控制 (opens new window)
证书 证书签名请求概述 (opens new window)
节点鉴权 节点鉴权概述 (opens new window)
任务 从 Pod 访问 Kubernetes API (opens new window)

译者加

在配置文件/etc/kubernetes/manifests/kube-apiserver.yaml中添加以下参数来控制 Webhooks:

  • --enable-admission-plugins=:设置要启用的 Webhooks 准入插件,格式为<控制插件1>,<控制插件2>,......
  • --disable-admission-plugins=:设置要禁用的 Webhooks 准入插件,格式同上
  • --admission-control-config-file=:设置具体的准入控制配置文件,可以为 YAML 或 JSON 格式

译者加

一些检查 kube-apiserver 错误信息的方法。

1、系统日志目录:

ls /var/log/pods/

ls /var/log/containers/
1
2
3

2、容器运行时工具:

crictl ps
crictl logs <容器ID>


# 如果有使用docker的话
docker ps
docker logs <容器ID>
1
2
3
4
5
6
7

3、服务日志:

tail -f /var/log/syslog | grep apiserver

journalctl -fn | grep apiserver
1
2
3
编辑 (opens new window)
在部署之前验证平台二进制文件
使用基于角色的访问控制-以最小化暴露面

使用基于角色的访问控制-以最小化暴露面

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License