Kubernetes 集群认证管理
Kubernetes 集群中所有资源的访问和变更都是通过 Kubernetes API Server 的 REST API 来实现的,所以集群安全的关键就在于如何识别并认证客户端身份(Authentication),以及随后访问权限的授权(Authorization)这两个问题。Kubernetes 集群提供了 3 种级别的客户端身份认证方式。
1.最严格的 HTTPS 证书认证:
基于 CA 根证书签名的双向数字证书认证方式。
HTTPS 证书认证的原理为:CA 作为可信第三方的重要条件之一就是 CA 的行为具有非否认性。作为第三方而不是简单的上级,就必须能让信任者有追究自己责任的能力。CA 通过证书证实他人的公钥信息,证书上有 CA 的签名。用户如果因为信任证书而有了损失,则证书可以作为有效的证据用于追究 CA 的法律责任。
CA 认证大概包含以下几个步骤。
(1)HTTPS 通信双方的服务器端向 CA 机构申请证书,CA 机构是可信的第三方机构,它可以是一个公认的权威企业,也可以是企业自身。企业内部系统一般都用企业自身的认证系统。CA 机构下发根证书、服务器端证书及私钥给申请者。
(2)HTTPS 通信双方的客户端向 CA 机构申请证书,CA 机构下发根证书、客户端证书及私钥给申请者。
(3)客户端向服务器端发起请求,服务器端下发服务器端证书给客户端。客户端接收到证书后,通过私钥解密证书,并利用服务器端证书中的公钥认证证书信息比较证书里的消息。例如,判断域名和公钥与服务器刚刚发送的相关消息是否一致,如果一致,则客户端认可这个服务器的合法身份。
(4)客户端发送客户端证书给服务器端,服务器端接收到证书后,通过私钥解密证书,获得客户端证书公钥,并用该公钥认证证书信息,确认客户端是否合法。
(5)客户端通过随机密钥加密信息,并发送加密后的信息给服务器端。在服务器端和客户端协商好加密方案后,客户端会产生一个随机的密钥,客户端通过协商好的加密方案加密该随机密钥,并发送该随机密钥到服务器端。服务器端接收这个密钥后,双方通信的所有内容都通过该随机密钥加密。
2.HTTP Token 认证
通过一个 Token 来识别合法用户。HTTP 是无状态的,浏览器和 Web 服务器之间可以通过 Cookie 来进行身份识别。
3.HTTP Base 认证:
桌面应用程序(如桌面客户端、命令行程序等)一般不会使用 Cookie,那么,它们与 Web 服务器之间是通过用户名+密码的方式认证。
这种认证方式是把“用户名+冒号+密码”用 BASE64 算法进行编码后的字符串,放在 HTTP Request 中的 Header Authorization 域里发送给服务器端,服务器端在收到后进行解码,获取用户名及密码,然后进行用户身份鉴权。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/d5cf96ed148a7a3d1edd64def】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论