深入理解kubelet认证和授权

极客浮光者
• 阅读 5240

在通过kubectl访问pod信息,例如执行kubectl logs,常常会遇到类似如下错误:

Error from server (Forbidden): Forbidden (user=system:anonymous, verb=get, resource=nodes, subresource=proxy) ( pods/log tiller-deploy-6b5ffb6f-lg9jb)

网上搜索可以通过启用anonymous访问,也就是使用--anonymous-auth=true或者配置文件添加:

authentication:
    anonymous:
        enabled: true

但是设置之后错误依旧,为此我探究了一下kubelet的认证机制,终于将问题解决,其实很简单,答案后面揭晓。

我们知道kubectl只会和apiserver交互,对于kubectl logs、kubectl exec等需要访问pod的这些命令,实际上是apiserver调用kubelet接口完成的,上述错误正是出在这个过程,而不是kubectl到apiserver的过程。

kubelet通过port指定的端口(默认10250)对外暴露服务,这个服务是需要TLS认证的,同时也可以通过 readOnlyPort 端口(默认10255,0表示关闭)对外暴露只读服务,这个服务是不需要认证的。apiserver通过--kubelet-https参数指定调用哪个服务,true为前者,false为后者,此时只能执行只读操作。下面主要说一下前者。

<!--more-->

认证过程

配置认证方式

有三种可配置认证方式:

  1. TLS认证,这也是默认的

    authentication:
    anonymous:
        enabled: false
    webhook:
        enabled: false
    x509:
        clientCAFile: xxxx

  2. 允许anonymous,这时可不配置客户端证书

    authentication:
    anonymous:
        enabled: true

  3. webhook,这时可不配置客户端证书

    authentication:
    webhook:
        enabled: true

    这时kubelet通过bearer tokens,找apiserver认证,如果存在对应的serviceaccount,则认证通过。

如果2开启,则忽略x509和webhook认证;否则,如果1和3同时开启,则按1、3的顺序依次认证,任何一个认证通过则返回通过,否则认证不通过。

通过kubectl命令行访问kubelet时,无法传递bearer tokens,所以无法使用webhook认证,这时只能使用x509认证。

证书配置

kubelet对外暴露https服务,必须设置服务端证书,如果通过x509证书认证客户端,那么还需要配置客户端证书。下面说明证书配置的三种方法:

手工指定证书

  1. 假设ca的证书和key:ca.pem,ca-key.pem
  2. 用上述ca生成kubelet服务端证书和key:kubelet-server.pem、kubelet-server-key.pem
  3. 用上述ca生成apiserver使用的客户端证书和key:kubelet-client.pem、kubelet-client-key.pem,证书CN为kubelet-client

  4. 修改kubelet的配置文件:

    tlsCertFile: kubelet-server.pem
tlsPrivateKeyFile: kubelet-server-key.pem
authentication:
    x509:
        clientCAFile: ca.pem

  5. 修改apiserver参数:

    --kubelet-certificate-authority=ca.pem --kubelet-client-certificate=kubelet-client.pem --kubelet-client-key=kubelet-client-key.pem

  6. 授权kubelet-client用户:

    kubectl create clusterrolebinding kubelet-admin --clusterrole=system:kubelet-api-admin --user=kubelet-client

    经过上面5步,认证的过程实际已经OK了,第6步是为授权过程服务的,kubelet的授权是通过webhook委托给apiserver的。

自签名证书和key

实际上是上述过程的特化,不指定tlsCertFile和tlsPrivateKeyFile时,kubelet会自动生成服务端证书保存在--cert-dir指定目录中,文件名为kubelet.crt和kubelet.key,这个证书是自签名的,所以apiserver不需要指定--kubelet-certificate-authority,其他配置是一样的。

通过TLS bootstrap机制

还可以通过TLS bootstrap机制分配kubelet服务证书。跟配置分配访问apiserver的客户端证书方法是一样的(参考官方文档),额外的配置如下:

  1. 修改kubelet配置文件:

    serverTLSBootstrap: true
  2. 授权允许创建kubelet服务端证书

    首先创建system:certificates.k8s.io:certificatesigningrequests:selfnodeserver,默认是没有创建的。

    selfnodeserver.yaml文件如下:

# A ClusterRole which instructs the CSR approver to approve a node requesting a
# serving cert matching its client cert.
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: system:certificates.k8s.io:certificatesigningrequests:selfnodeserver
rules:
- apiGroups: ["certificates.k8s.io"]
 resources: ["certificatesigningrequests/selfnodeserver"]
 verbs: ["create"]
kubectl create -f selfnodeserver.yaml

然后创建绑定:

kubectl create clusterrolebinding node-server-auto-renew-crt --clusterrole=system:certificates.k8s.io:certificatesigningrequests:selfnodeserver --group=system:nodes

  1. 手工批准证书请求:

    先查询证书请求:

    [vagrant@localhost etc]$ kubectl get csr
NAME                                                   AGE     REQUESTOR                 CONDITION
csr-2jxvn                                              76s     system:node:10.10.10.16   Pending

    然后批准证书:

    kubectl certificate approve csr-2jxvn

    之后在相应kubelet的--cert-dir目录可以看到服务端证书已经生成。

  2. 配置客户端证书和前面的方法是一样的,上面3步只是生成服务端证书。

选择哪种方式

客户端证书配置是免不了的,区别是在服务端证书,显然自动生成更加方便,TLS bootstrap相对于自签名证书更加安全,集群统一使用信任的CA签名。

TLS bootstrap还可以配置证书过期后自动重新生成,方法是修改kubelet配置文件:

rotateCertificates: true

TLS bootstrap分配证书的有效期可以通过kube-controller-manager如下参数修改,默认8760h0m0s,也就是1年:

--experimental-cluster-signing-duration

授权过程

配置授权方式

可配置两种授权方式:

  1. AlwaysAllow:从字面意思就可知道

    authorization:
    mode: AlwaysAllow

  2. Webhook:这是默认模式

    authorization:
    mode: Webhook

    这时授权过程是委托给apiserver的,使用apiserver一样的授权模式,也就是RBAC。

配置权限

如果通过Webhook授权,就需要通过RBAC为用户配置权限。

首先要弄清楚通过认证的用户是什么,通过x509证书认证的用户名是客户端证书中的CN字段,用户组为O字段;通过webhook认证的用户是token对应的serviceaccount;没有通过认证或使能anonymous,则用户为system:anonymous。

其次要弄清楚应该授权什么权限,系统已经存在一个system:kubelet-api-admin角色,这是最高的权限,可以根据需要创建低权限角色。

[vagrant@localhost kube-apiserver]$ kubectl describe clusterrole system:kubelet-api-admin
Name:         system:kubelet-api-admin
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
PolicyRule:
  Resources      Non-Resource URLs  Resource Names  Verbs
  ---------      -----------------  --------------  -----
  nodes/log      []                 []              [*]
  nodes/metrics  []                 []              [*]
  nodes/proxy    []                 []              [*]
  nodes/spec     []                 []              [*]
  nodes/stats    []                 []              [*]
  nodes          []                 []              [get list watch proxy]

最后将用户和角色绑定,即完成权限的配置。

总结

如何配置kubelet的认证和授权,归结起来常用如下2种做法:

  1. 省事型,可用于开发环境

    authentication:
    anonymous:
        enabled: true
authorization:
    mode: AlwaysAllow

    一开始出现的Forbidden问题就是没有配置AlwaysAllow,默认是Webhook。

  2. 安全型,生产环境使用

    authentication:
    anonymous:
        enabled: false
authorization:
    mode: Webhook

    服务端证书通过TLS bootstrap,客户端证书需要手工配置。

欢迎访问钟潘的博客
kubernetes
点赞
收藏
评论区
推荐文章
美凌格栋栋酱 美凌格栋栋酱
1年前
Oracle 分组与拼接字符串同时使用
SELECTT.,ROWNUMIDFROM(SELECTT.EMPLID,T.NAME,T.BU,T.REALDEPART,T.FORMATDATE,SUM(T.S0)S0,MAX(UPDATETIME)CREATETIME,LISTAGG(TOCHAR(
4495
0
0
Stella981 Stella981
4年前
Kubernetes工作流程
Kubernetes工作流程!(https://oscimg.oschina.net/oscnet/125154c88288a56d3f8a0a76942105107de.png)客户端创建pod流程:1.用户管理员创建Pod的请求默认是通过kubectl客户端管理命令apiser
2000
0
0
Stella981 Stella981
4年前
Opencv中Mat矩阵相乘——点乘、dot、mul运算详解
Opencv中Mat矩阵相乘——点乘、dot、mul运算详解2016年09月02日00:00:36 \牧野(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Fme.csdn.net%2Fdcrmg) 阅读数:59593
2827
0
0
Stella981 Stella981
4年前
C# Aspose.Cells导出xlsx格式Excel,打开文件报“Excel 已完成文件级验证和修复。此工作簿的某些部分可能已被修复或丢弃”
报错信息:最近打开下载的Excel,会报如下错误。(xls格式不受影响)!(https://oscimg.oschina.net/oscnet/2b6f0c8d7f97368d095d9f0c96bcb36d410.png)!(https://oscimg.oschina.net/oscnet/fe1a8000d00cec3c
2169
0
0
Wesley13 Wesley13
4年前
K8S基础概念
一、核心概念1、NodeNode作为集群中的工作节点,运行真正的应用程序,在Node上Kubernetes管理的最小运行单元是Pod。Node上运行着Kubernetes的Kubelet、kubeproxy服务进程,这些服务进程负责Pod的创建、启动、监控、重启、销毁、以及实现软件模式的负载均衡。Node包含
1193
0
0
Stella981 Stella981
4年前
Linux查看GPU信息和使用情况
1、Linux查看显卡信息:lspci|grepivga2、使用nvidiaGPU可以:lspci|grepinvidia!(https://oscimg.oschina.net/oscnet/36e7c7382fa9fe49068e7e5f8825bc67a17.png)前边的序号"00:0f.0"是显卡的代
2031
0
0
Wesley13 Wesley13
4年前
VBox 启动虚拟机失败
在Vbox(5.0.8版本)启动Ubuntu的虚拟机时,遇到错误信息:NtCreateFile(\\Device\\VBoxDrvStub)failed:0xc000000034STATUS\_OBJECT\_NAME\_NOT\_FOUND(0retries) (rc101)Makesurethekern
2254
0
0
Stella981 Stella981
4年前
KVM调整cpu和内存
一.修改kvm虚拟机的配置1、virsheditcentos7找到“memory”和“vcpu”标签,将<namecentos7</name<uuid2220a6d1a36a4fbb8523e078b3dfe795</uuid
2839
0
0
Wesley13 Wesley13
4年前
Ubuntu 国内安装 kubernetes
由于墙的原因,国内要安装kubernetes非常的麻烦,因此只要解决这个问题,就可以顺利安装kubernetes的三个官法工具kubelet、kubeadm、kubectl。安装环境:OS:Ubuntu18.04.11.添加相应的源我在这里使用阿里源,命令如下:sudovim/
1657
0
0
Stella981 Stella981
4年前
Kubernetes使用命令
kubeadm/kubelet/kubectl区别kubeadm是kubernetes集群快速构建工具kubelet运行在所有节点上,负责启动POD和容器,以系统服务形式出现kubectl:kubectl是kubenetes命令行工具,提供指令Kubernete
1008
0
0
Stella981 Stella981
4年前
ClickHouse性能提升
本文经作者授权,独家转载:作者主页:https://www.jianshu.com/u/8f36a5e63d181\.不要用select\反例:select  from app.user_model正例:select login_id,name,sex from app.user_mo
1281
0
0
极客浮光者
极客浮光者
Lv1
委曲求全不是公主的作风。
文章
5
粉丝
0
获赞
0
热门文章
作为数据科学家,我都有哪些弱点?
三甲:在线富文本编辑器的架构设计及实践
生成式 AI 的下一阶段将走向何方?
laravel 数据库迁移时报错