00:01
各位大家好,下面我们继续来学习KS,下面呢,给各位再来介绍一个在我们KS中很重要一个概念,就是关于它的集群的安全机制,给各位写一下,就关于。K8S。集群的安全。机制,比如说里边它在反问过程中要经过一些相关的操作才能完成访问,比如说你要创建,要经过一系列操作才能真正创建,所以它这个过程中,当我们进行KS操作中会有一些相关的安全机制,那我下面给各位做个介绍,首先我们先做一个总体上的一个。概述。纳安天机制是怎么样的呢?给各位说一下啊,首先第一句话各位知道,就是当我们啊访问一个。K8S集群的时候,这个时候呢,我们需要。经过这么几个步骤啊,具体说应该经过有三个步骤才能完成我们的具体的这个操作,比如你进行访问,进行创建,进行什么操作,需要有三步之后才能完成具体操作,那这里边有哪三步给各位来写一下啊,首先里边的第一步先经过什么,它叫做。
01:19
认证操作我先写,然后具体解释,然后里边的第二步叫什么,它叫做健全操作。或者说也可以叫授权操作,然后除了授权之外,里边还有第三步就做一个,就是叫准入。控制操作,所以这里边你要访问KYS集群的时候,或者访问里边资源的时候,要经过三步操作之后才能完成这个过程,这个啊是他一个基本过程,然后这三步什么意思,给各位简单说一下,一会儿会详细介绍的。第一个叫认证。他就好比说啊,比如说我们现在我们进入到一个就是公司里边去,那公司首先进入公司是不是有他那个门卫或者保安呀,保安让你进去之后是不是才能进入,所以这是第一步,就是认证经过公司的门卫,而你经过之后到公司里边,那我这里边我可以到哪个办公室,或者到哪个屋里边是不是要有个健全,比如现在我只能到这个门卫室,我只能到这个财务部,我只能到什么技术部,这叫健全。还有第三步叫准入控制,什么叫准入控制?比如现在我想到这个就是财务部找个人,这个人叫张三,那我现在进入到财务部,但是我一找发现张三没在财务部这块程叫主入控制,就这人具体能不能找到,所以这是里边的三步操作,咱访问K8S基金资源的时候,要经过三步之后才能完成我们的具体内容认证授权,还有这个叫准入控制。
02:51
这个各位知道啊,这是它的三个基本步骤,然后这里边给各位来说第二句话,要各位记住啊。就是咱们现在啊,比如说我们进行访问的时候,那我们反过程中呢,其实啊,就是我们进行访问的时候。
03:08
在这个过程中都需要经过一个地方。什么地方呢?就是咱之前说那个叫API server都需要经过它,而API server理解为呢,他做的什么事情呢?它就是做一个叫统一的一个协调的这个工作,就好比说我们这个。门卫的这个工作,门卫嘛,这里边谁能进谁不能进,他是不是做统一协调,而在这个访问的过程中啊,在他访问过程中肯定需要一些相关的这个操作或者相关的授权才可以做到,而这里边往往我们需要什么,比如说我可以需要一些。证书,或者说需要一个token,或者说我这里需要这个用户名加上密码,然后需要这些呢,咱们才能进行我们这个比如说。
04:04
相关的访问啊,另外里边如果你要访问pod,还需要经过一些什么service,就是你的服务的一些账号啊,就是如果说要访问pod还需要经过一些service。Account就是服务的账号,所以这个啊是里边的这个特点给各位再重复一遍啊,咱们进行访问的时候呢,这过程中肯定都需要先经过API server,因为API server它是做统一协调管理的,好比说我们这个门卫做统一协调,让谁进让谁不能进,而这过程中咱需要可能需要证书。需要token,咱之前在部署那个二进制集群中应该都演示过,另外可能需要用户名密码才能进行访问,另外如果说你访问po的时候,可能还需要一些特别的服务账号才能访问,所以这个啊是关于里边的这么一个特点,就是它一个安全机制,也就是说通俗来说,咱肯定不能随便进行访问,你访问要经过一系列过程才做到,就是按照严格的程序,按照严格的手我们才可以做到,所以这个啊是它里边一个安全的机制。
05:13
然后这个过程给各位,我在里边咱大概画一下啊,比如我现在我要进行这么一个访问。啊,进行一个访问,哎,这个啊画一下做一个相关的访问,那访中呢,它要经过三步,刚刚才说的三步,那我来画一下啊里边第一步。第二步包括第三步,呃,画的稍微小点啊。就是第一步。然后这是第二步,这里边有第三步,而三步分别是什么呢?它里边的第一步,刚才说到这个叫认证。制第一步,然后里边的第二步叫健全,或者说授权,第三步我们叫准入控制,要经过这个三步操作。
06:01
然后经过这个三步之后,最终我们可以访问到我们具体这个资源,或者具体那个内容,比如说我们访问内容中,假如说里边我们有什么pod,有什么controller,包括有service等等这那种啊,然后这过程中可能它要进行etcd的新闻读取。那我也来写一下,比如咱房中有这个pod。有这个service。包括可能有这个有这个什么controller。等等一些相关内容,然后它里边经过健全之后,再进行相应的这么一个访问啊,所以这个啊,就是咱们说的K8S集中一个最基本的安全机制,他要经过三步操作,最终才能完成它的具体内容,比如你是访问还是做什么创业等操作,认证授权,还有准入控制,这个给各位这个说明,然后说完之后,下面咱们把这三步给各位再说的更具体点啊,就是咱们进一步来说明,关于刚才我说的这个三步。
07:05
那我来说一下啊,首先刚才提到里边的就是第一步。呃,这位画一下啊,就是第一步我们叫认证。然后这个认证呢,其实里边还有一个东西啊,它叫传输安全,什么叫传输安全呢?我说一下啊。传输安全,也就是说在我们K8S这个反应过程中,它对外是不给你暴露这个8080这个端口的,这个端口我们只能就是你内部进行访问,对外没有利端口,而咱对外它统一使用的一个端口啊,使用的这个端口是这个叫。6443。不知各位是否记得啊,咱之前应该曾经说过啊,当时咱们用二进制方式中应该部署过,所以这是第一个特点,传输安全,另外里边这个认证,认证呢,其实我们理解为就是比如说我们做个登录啊,或者这个门卫让我们进入认证,而认证过程中呢,我们通过客户端认证,假如现在我访问到片server,首先经过认证,而认证一般来讲我们有以下这么几种常见的方式。
08:15
啊,就是我们这个客户端身份认证,它有几些常用的方式,给各位也是做个说明。这里说一下啊,比如说里边第一种常用方式,咱用的就是HTPS的这种证书的认证,里边呢,就需要基于我们这个叫C的这个证书,然后进行这么一个相关内容,就是C证书的签名,或者说数字证书认证进行操作,这是第一种方式。包括咱之前在我们二进制部署中曾经也用过这个证书的生成啊,第一个,然后第二什么呢?基于HTP这个叫token的一个认证。然后这里边就通过这么一个token来识别你的这个用户,当时我们把那个note节点加入到mother节点中,咱是不是要给他做一个就是授权让他可以访问啊,当然我们用那个命令就是CRC这种方式。
09:15
包括做就做个这么一个操作,这个各位知道啊,就是这个token,然后除了它之外,这里边还一种方式啊,就是用这个HTTP,最基本的这种认证,就是你使用这个用户名加上这个。密码进行认证,但是这种方式用的不多,因为它安全性相对于前文两种要低一点,前面两种要么通过C证书,要么通过ton,肯定是更加安全,所以这是里边的第一步,就是认证,包括这个传输安全,传输安全对外暴露,目前用的是64438080指令部访问,然后我们客户端认证常用三种方式,LTS接待,C证书,Htp token认证,包括最基本的用户名密码认证,但咱一般用的前两种,要么C证书,要么ton。
10:03
这个啊是咱们说的第一步就是认证,然后除了它之外,在咱们反应过程中,肯定还需要我们进入到第二步,刚才咱们说到的第二步,它叫做。健全,或者说也可以叫授权。那什么叫授权呢?说的通俗点,比如我现在我通过门卫,通过保安到了公司里边,那门卫告诉我,你现在只能去财务部,别的部门你都不能去,比如他给我一张门禁卡,门禁卡我只能打开财务部的门,这个叫健全,比如说我去别的部门,那我这卡也打不开,也不让我进,我也进不去这几个操作啊,而健全过程中呢,我们现在是用的是一种。模式啊,就是基于一个叫做。RBAC的这么一种方式啊,RB。AC的这么一种方式,然后进行这个就是健全的这么一个操作。
11:03
而RBAC什么意思呢?它叫做基于角色的一个反控制。啊,访问。控制,而这个RBAC在实际中很多领域都用到,不仅是咱们在KS用到,比如说咱们其他领域,比我们在Java操作中,在我们做一些相关的权限管理中,这种方式也经常用到,就关于这个叫RBAC进行健全,它是基于角色这种反控制性操作,就是给我角色是一个权限,然后用户给你去做绑定,最终角色有的事情我用户就能去做。这个叫健全,一会儿咱会具体说,你先有一个最基本认识,这是里边的第二步,然后除了它之外,还有里边的第三步,刚才咱说的那个叫准入控制。那准入控制什么意思呢?其实这准入控制啊,实际上就是一个准入控制这么一个控制器的一个列表,咱们对发送的这个API server中这些请求到里边过滤,如果里边有,那我就通过,没有的话就不通过啊,主要就是做这个事情,就好比我刚才举的例子中,我们到一个财务部中找张三,我已经进入了,但是财务部门中没有张三,那我就找不到,有张三我就能找到啊,就类似于这么一个过程。
12:19
我写一下哈,其实它就是一个进行准入控制。就是一个进行准入控制器的这么一个列表,如果说列表中有你请求的。这个内容那他就通过,如果没有的话,他就拒绝啊,这个就叫准入控制,就是到一个。部门内部找人,这人在我就找不到,不在那我就找不到,所以这时我们进行安全机制的三步啊,咱通过三步最终完成我们的具体操作,所以各位把这个安全机制的基本概念给他知道,所以我现在给各位就做了一个说明,关于KS集群的安全机制。
13:03
这个我们就说完了。
我来说两句