如何为K8S生产系统配置安全管理？

PX-Security：针对Kubernetes持久卷的多租户授权、身份验证和RBAC

PX-Security演示视频链接 https://v.qq.com/x/page/s30609pfmuq.html

安全对于企业来说至关重要，对于运行在Kubernetes上的基于微服务的应用来说更是如此。Kubernetes提供RBAC授权，根据不同角色设定，管理Kubernetes内部特定资源的访问权限。这些机制对于管理Kubernetes的特定对象（如服务、命名空间、配额等）的访问权限非常有用。但命名空间和pod的安全策略本身，不足以限制谁有权限可以请求更改底层数据管理系统。许多企业通过CNI或CSI等API，调用其他的平台能力来提供网络和存储基础。Kubernetes所缺乏的是将RBAC扩展到这些系统的能力，需要外部系统来确保授权和认证功能的实现。这就是为什么Portworx与Kubernetes携手，通过对支撑Kubernetes中PVCs的持久卷，进行访问角色控制，来提供RBAC、加密和控制权限，这将创建一个无缝的保护层，为您的PVCs提供以下保护：

1.     同一命名空间中的用户可以受到其角色的限制，比如他们可以具有读、写、管理员或其他定义的访问权限。

2.     用户可以通过Token自动进行身份验证，这样审计请求的授权就可以针对特定命名空间来进行。

3.     可以将用户置于基于租户的命名空间中，从而为访问PVCs提供安全的多租户。

4.     即使用户看到存储类，也不意味着他们被授权创建PVC。

5.     将Portworx RBAC与加密一起使用，意味着数据在host上是安全的，命名空间内的非授权用户不能访问数据。

6.     如果一个请求来自Kubernetes外部而没有Token，它将被阻止。

要深入了解Portworx能为您的Kubernetes平台提供什么，可以查看Portworx网站上的安全参考体系架构。我们将重点讨论一些主题，比如如何设置PX-Security，以及如何使用Token对具有相应持久卷访问权限的角色用户进行身份验证。

首先，Portworx通过使用Token支持RBAC。在本文中，PX-Security将使用存储在Kubernetes Secrets中的Token，这些Token提供了最灵活的操作，且不牺牲任何安全性。

开始吧!在我们讨论什么是Token以及如何使用它之前，有一点需要注意，对Portworx的每个请求都是使用存储在Token中的信息进行身份验证和授权的。其中包含关于用户及其角色所需所有相关的验证和签名的信息。因此，我们配置了PX-Security后，我们会创建Token。

让我们来配置PX-Security来达到安全性。请访问 https://central.portworx.com，

点击安装并运行。填写安装程序要求的信息，完成后下载你的YAML文件，将文件保存以便后续做编辑。

接下来，我们将创建用于PX-Security的安全共享的Secrets。我们必须首先创建这些共享的Secrets，因为存储管理员将使用它们来生成和验证Token。出于安全原因，这些数据被存储在Kube-system命名空间中的Kubernetes Secrets中，只有少量的管理员和应用程序可以访问该命名空间。

运行以下命令将这些值放入Kubernetes Secret中：

您可以使用以下命令测试Kubernetes中的共享-secret。

打开您的YAML文件，找到PortworxDaemonset，可以看args, 在image:portworx/oci-monitor下。这里我们将添加安全参数（粗体）和PX-Security需要的Secrets：

我们还需要找到Stork部署和编辑环境以包含我们的共享secret。见下文。

完成这两个步骤后，保存YAML文件。现在，我们需要创建我们在Portworx安装YAML中引用的共享Secret。

接下来，使用下载和编辑过的YAML文件创建Portworx集群。

用户和Token

我们需要定义几个用户并为他们生成Token。通常，这些用户有分配给他们的属性，这些属性定义了他们的用户类型。

首先，我们将创建一个存储管理员，该管理员具有全部权限。这样的管理员应该只有一两个。

使用以下内容创建一个名为admin.yaml的文件：

接下来，我们将创建一个Kubernetes用户，该用户作为一个验证客户，Kubernetes允许该用户与Portworx交互，并且这些请求来自Kubernetes。您的存储管理员需要设置此用户。

使用以下内容创建一个名为kubernetes.yaml的文件：

最后，我们将创建一个仅能看 (view-only) 权限的用户，用于演示Portworx如何限制对底层数据管理API的访问。

使用以下内容创建一个名为viewer.yaml的文件：

注意：Sub标记是该用户的唯一标识符，根据JWT标准，不能与其他Token共享。这个值被Portworx用来跟踪资源的所有权。如果电子邮件也用作唯一Sub标识符，请确保它不被任何其他Token使用。

请注意：有一个用户的角色是system.admin，另一个用户的角色是system.user，最后一个用户的角色是system.view。这些角色在PX-Security中是默认的，但也可以根据需要创建其他角色。我们来演示用户如何使用Portworx资源，如创建或删除卷。这跟该用户在Kubernetes RBAC的配置无关。

也就是说，具有system.view的用户也许能够在Kubernetes中内列出和创建PVC对象，但如果他们试图直接使用Portworx创建卷，将会失败。我们还将演示，为什么能够创建PVC对象的用户在此安全模式中实际上无法获得PV，除非该用户拥有由存储管理员配置的有效Token，来验证其角色和权限。

配置好了这些具备相关权限的用户，我们就可以使用我们的共享Secret和Portworx客户端工具pxctl，为这些用户生成自签名证书。

注意：您可以创建自己的应用来生成Token，也可以基于我们的开源golang示例程序openstorage-sdk-auth

在这个场景中，我们将使用共享Secret和pxctl auth token generate命令。让我们为上述两个用户创建Token。

首先，获取共享Secret。

接下来，配置Admin Token。首先是SSH，到Portworx节点，这样就可以使用pxctl命令。

然后，使用admin.yaml和共享Secret创建admin Token。

注意：确保将auth_config文件和PORTWORX_AUTH_SHARED_SECRET 复制到正在使用pxctl的Portworx容器中。

接下来，配置Kubernetes Token。

接下来，配置Viewer token。

现在我们已经创建了用户环境（Context），比如Portworx的Kubectl环境，来供两个用户使用，我们可以作为其中一个用户与Portworx系统进行交互。

注意，您可以使用$pxctl contextlist列出所有环境：

发生了什么？请记住，我们为具有system.view角色的Viewer设置了用户环境。这是Portworx的默认角色，只能运行只读命令，不具备写操作的权限，因此访问被拒绝。

如何与Kubernetes一起使用？

为了让Kubernetes的用户使用PX-Security，用户必须在向集群发出请求时使用自己的Token。一种方法是让管理员在Kubernetes存储类中配置Token。管理员可以在Portworx命名空间中名为px-k8-user的Secret中设置保存Secret Token。

如果您正在使用CSI，请确保设置其他的参数。

注意：这目前只在通过Portworx使用CSI时有效。

完成此操作后，具备访问存储类权限的用户可以创建卷。

多租户架构

当您创建上述PVC时，它将使用KubernetesToken作为用户进行身份验证，从而确保该Kubernetes用户是发出请求的用户。这很好，但是多租户环境下，他们都可以使用存储类，因此我们需要一种方法来在不同的命名空间中使用多租户的Token。这是因为Kubernetes提供了使用命名空间隔离帐户资源的好方法，但您需要更安全的多租户解决方案。Portworx可以通过为应用存储卷添加访问控制来达到多租户安全管理。使用PX-Security进行多租户管理，可以执行以下操作。

首先，为租户创建一个命名空间。

使用以下创建一个名为tenant-a.yaml 的文件：

使用tenant-name.yaml为Kubernetes创建一个token：

将该租户的Kubernetes Token保存在一个名为<tenant namespace>/px-k8 -user的Secret中：

现在可以设置Kubernetes存储类，通过使用这个Secret，来获得Token权限，并与Portworx开始通讯。

下面的CSI存储类一旦创建，将使您的多租户能够使用存储在其命名空间中的Secret中的Token，来创建卷，方法是在命名空间中查找Secret。在使用CSI时，存储类将引用三种受支持操作的secret：provision, node-publish(mount/unmount), and controller-expand。

请注意 ${pvc.namespace}。这将确保CSI控制器获得正确的Token，该Token与PVC的命名空间相关联。您现在就有了一个基于Token身份验证的多租户解决方案。

我们在本Blog中有一部分没有介绍的PX-Security功能就是Portworx卷的加密。您可以在这里（how to work with Encrypted PVCs）查看更多的关于PVC加密的文档 。您可以将Portworx RBAC与卷加密结合使用，来使Kubernetes中的数据更加安全。