集群安全管理軟件技術(shù)專業(yè)群·

專業(yè)選修課目錄/Contents用戶0201RBAC鑒權(quán)03RBAC認(rèn)證證書、權(quán)限管理與安全上下文目錄/Contents服務(wù)賬號(hào)ServiceAccount0504網(wǎng)絡(luò)策略NetworkPolicy用戶01Kubernetes中的用戶第一類：Kubernetes管理的服務(wù)賬號(hào)第二類：普通用戶Kubernetes中的用戶服務(wù)賬號(hào)是KubernetesAPI所管理的用戶，它們與一組以Secret保存的憑據(jù)相關(guān)，這些憑據(jù)會(huì)被掛載到Pod中，從而允許集群內(nèi)的進(jìn)程訪問KubernetesAPI服務(wù)賬號(hào)的管理方式可以是：被綁定到特定的名字空間；由API服務(wù)器自動(dòng)創(chuàng)建；通過API調(diào)用創(chuàng)建。Kubernetes中的用戶普通用戶的信息無法通過API調(diào)用添加到集群中。采用基于角色訪問控制（RBAC）子系統(tǒng)來確定用戶是否有權(quán)針對(duì)某資源執(zhí)行特定的操作。對(duì)普通用戶的管理方式可以是：負(fù)責(zé)分發(fā)私鑰的管理員；類似Keystone或者GoogleAccounts這類用戶數(shù)據(jù)庫；包含用戶名和密碼列表的文件。RBAC鑒權(quán)02RBAC鑒權(quán)RBAC——基于角色的訪問控制，是一種基于組織中用戶的角色來調(diào)節(jié)控制對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的訪問的方法。RBAC鑒權(quán)機(jī)制允許通過KubernetesAPI動(dòng)態(tài)配置策略。啟用RBAC，需在啟動(dòng)API服務(wù)器時(shí)設(shè)置參數(shù)--authorization-mode。RBAC鑒權(quán)將--authorization-mode參數(shù)設(shè)置為一個(gè)逗號(hào)分隔的列表并確保其中包含RBAC：kube-apiserver--authorization-mode=Example,RBAC--<其他選項(xiàng)>--<其他選項(xiàng)>RBAC鑒權(quán)RBACAPI聲明了四種Kubernetes對(duì)象：RoleClusterRoleRoleBindingClusterRoleBinding。RBAC鑒權(quán)RBAC的Role或ClusterRole中包含一組代表相關(guān)權(quán)限的規(guī)則。Role總是用來在某個(gè)命名空間內(nèi)設(shè)置訪問權(quán)限；在創(chuàng)建Role時(shí)，必須指定該Role所屬的命名空間。ClusterRole是一個(gè)集群作用域的資源。RBAC鑒權(quán)RBAC的角色綁定（RoleBinding）是將角色中定義的權(quán)限賦予一個(gè)或者一組用戶。RoleBinding在指定的命名空間中執(zhí)行授權(quán)。ClusterRoleBinding在集群范圍執(zhí)行授權(quán)。THANKS謝謝聆聽集群部署與運(yùn)維集群安全管理軟件技術(shù)專業(yè)群·

專業(yè)選修課RBAC認(rèn)證證書、權(quán)限管理與安全上下文03驗(yàn)證證書與上下文拷貝ca證書為用戶準(zhǔn)備密鑰文件user.key創(chuàng)建證書簽署請(qǐng)求文件user.csr基于ca簽署證書驗(yàn)證證書RBAC驗(yàn)證證書與上下文配置上下文配置集群信息配置客戶端證書和密鑰查看上下文設(shè)置上下文切換上下文用戶權(quán)限管理切換上下文用戶為創(chuàng)建角色，并進(jìn)行綁定切換上下文用戶為zc并查看Pod為用戶分配默認(rèn)命名空間default中Pod與Deployment的get、watch、list權(quán)限權(quán)限管理定義集群角色與相應(yīng)的綁定編寫yaml配置文件應(yīng)用配置創(chuàng)建角色，并進(jìn)行綁定為用戶在集群范圍內(nèi)分配對(duì)nodes、daemonsets資源的get、watch與list權(quán)限任務(wù)描述創(chuàng)建用戶zc的密鑰zc.key、證書簽署請(qǐng)求文件zc.csr，并基于ca簽署證書、配置用戶zc的上下文。最后，切換至用戶zc的上下文，并嘗試使用kubectl命令。安全上下文安全上下文SecurityContext分為三個(gè)級(jí)別：集群級(jí)別Pod級(jí)別容器級(jí)別THANKS謝謝聆聽集群部署與運(yùn)維集群安全管理軟件技術(shù)專業(yè)群·

專業(yè)選修課服務(wù)賬號(hào)ServiceAccount04服務(wù)賬號(hào)Kubernetes賬號(hào)包括兩類：用戶賬號(hào)服務(wù)賬號(hào)服務(wù)賬號(hào)Kubernetes為什么要區(qū)分用戶賬號(hào)和服務(wù)賬號(hào)？用戶賬號(hào)是針對(duì)人而言的。服務(wù)賬號(hào)是針對(duì)運(yùn)行在Pod中的進(jìn)程而言的；用戶賬號(hào)是全局性的。其名稱在跨集群名字空間是唯一的。服務(wù)賬號(hào)是名字空間作用域的；服務(wù)賬號(hào)Kubernetes為什么要區(qū)分用戶賬號(hào)和服務(wù)賬號(hào)？通常情況下，集群的用戶賬號(hào)可能會(huì)從企業(yè)數(shù)據(jù)庫進(jìn)行同步，其創(chuàng)建需要特殊權(quán)限，并且涉及到復(fù)雜的業(yè)務(wù)流程。服務(wù)賬號(hào)創(chuàng)建有意做得更輕量；對(duì)用戶賬號(hào)和服務(wù)賬號(hào)審計(jì)所考慮的因素可能不同；針對(duì)復(fù)雜系統(tǒng)的配置包可能包含系統(tǒng)組件相關(guān)的各種服務(wù)賬號(hào)的定義。THANKS謝謝聆聽集群部署與運(yùn)維集群安全管理軟件技術(shù)專業(yè)群·

專業(yè)選修課網(wǎng)絡(luò)策略05網(wǎng)絡(luò)策略Kubernetes提供了NetworkPolicy，支持按命名空間Namespace級(jí)別的網(wǎng)絡(luò)隔離。網(wǎng)絡(luò)策略podSelector字段是Pod選擇器，選定的Pod所有的出入站流量要遵循本網(wǎng)絡(luò)策略的約束；policyTypes字段為策略類型。包括了Ingress（入站）和Egress（出站）。NetworkPolicy資源的配置：網(wǎng)絡(luò)策略常見的網(wǎng)絡(luò)策略NetworkPolicy：相同命名空間的隔離不同命名空間的隔離跨命名空間的隔離任務(wù)描述我們的任務(wù)是：在同一個(gè)命名空間policy-demo1下創(chuàng)建應(yīng)用nginx，并賦予標(biāo)簽app=nginx；創(chuàng)建直接基于Podnginx的Service；創(chuàng)建對(duì)nginx