【每日一个云原生小技巧 #71】Kubernetes 身份验证机制

在 Kubernetes (k8s) 中，身份验证是确保用户或进程正确身份的关键安全机制。身份验证过程涉及确认一个实体（用户、服务账户或其他进程）的身份以便允许其与 Kubernetes 集群交互。

身份验证机制

Kubernetes 提供了多种身份验证机制，每种都有其特点和限制，适用于不同的使用场景。主要的身份验证方法包括：

1. X.509 客户端证书认证：用于系统组件之间的认证，例如 Kubelet 认证到 API 服务器。但由于无法单独撤销和密码保护私钥等限制，它可能不适合生产环境中的用户认证。
2. 静态令牌文件：虽然 Kubernetes 支持从控制平面节点的磁盘上加载凭证，但由于凭证以明文形式存储等原因，不建议在生产服务器中使用。
3. Bootstrap 令牌：用于将节点加入集群，但由于固定的组成员身份和无锁定机制等问题，不适合用于用户认证。
4. ServiceAccount 密钥令牌：主要用于集群中运行的工作负载认证到 API 服务器。不过，由于它们没有过期设置等原因，通常不适合用于用户认证。
5. TokenRequest API 令牌：用于生成短期服务认证凭证，但由于没有吊销方法和安全分发挑战，一般不推荐用于用户认证。
6. OpenID Connect 令牌认证：支持将外部认证服务集成到 Kubernetes API，但需要注意软件隔离和短期令牌的使用。
7. Webhook 令牌认证：允许将外部认证提供者集成到 Kubernetes，但适用性取决于用于认证服务的软件。
8. 认证代理：通过代理集成外部认证系统到 Kubernetes，需要注意安全配置 TLS 和头部安全。

场景包括

• 集群管理员：管理集群资源和配置。
• 开发人员：部署和管理应用程序。
• 自动化系统：CI/CD 管道和自动化部署工具。
• 第三方应用：例如监控和日志服务。

使用技巧

1. 最小权限原则：确保实体只具有执行其任务所需的最小权限。
2. 使用角色基访问控制（RBAC）：与身份验证机制配合使用，以控制对集群资源的访问。
3. 定期旋转凭据：定期更换证书和令牌以提高安全性。
4. 监控和日志记录：监控身份验证尝试并记录相关活动，以便审计和故障排除。
5. 使用外部身份提供者：通过集成如 OIDC 这样的外部身份提供者来增强安全性。

使用案例

使用 X.509 证书进行身份验证

在 Kubernetes 中，可以使用 X.509 证书为用户或节点提供身份验证。以下是创建和使用 X.509 证书的基本步骤：

创建证书签名请求（CSR）用户或节点需要创建一个证书签名请求 (CSR)：

openssl genrsa -out jane.key 2048
openssl req -new -key jane.key -out jane.csr -subj "/CN=jane/O=devteam"

发送 CSR 到 Kubernetes将 CSR 发送到 Kubernetes 集群进行签名：

apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: jane
spec:
  request: $(cat jane.csr | base64 | tr -d '\n')
  signerName: kubernetes.io/kube-apiserver-client
  usages:
  - client auth

审批 CSR集群管理员审批 CSR：

kubectl certificate approve jane

获取和使用证书一旦 CSR 被审批，用户可以下载签名的证书，并使用它来与 Kubernetes API 进行交互。

通过这种方式，可以为特定的用户或节点提供安全的身份验证方式。Kubernetes 中的身份验证机制的实现和维护需要仔细的规划和管理，以确保集群的安全性和有效性。