資訊專欄INFORMATION COLUMN
準入控制是k8s中用來提供安全控制的一個控制器,而動態控制則是用戶定制的安全策略
動態準入控制分為兩種,分別為Mutating,Validating
Mutating主要為修改性質的,在api調用完成之后k8s會根據ValidatingWebhookConfiguration中的條件發送給配置的webhook服務,webhook服務根據業務邏輯進行修改,比如說大名鼎鼎的istio的Sidecar注入就是于此
Validating主要為驗證性質的,主要看是不是符合條件集群要求,比方說為了高可用不允許設置副本數為1的類型為deployment的請求
下圖所顯的是api請求的流程
創建證書的的程序很多比較出名的是
openssl,這里我們使用rancher提供的一個自動生成證書的腳本
create_self-signed-cert.sh#!/bin/bash -ehelp (){
echo ' ================================================================ '
echo ' --ssl-domain: 生成ssl證書需要的主域名,如不指定則默認為www.rancher.local,如果是ip訪問服務,則可忽略;'
echo ' --ssl-trusted-ip: 一般ssl證書只信任域名的訪問請求,有時候需要使用ip去訪問server,那么需要給ssl證書添加擴展IP,多個IP用逗號隔開;'
echo ' --ssl-trusted-domain: 如果想多個域名訪問,則添加擴展域名(SSL_TRUSTED_DOMAIN),多個擴展域名用逗號隔開;'
echo ' --ssl-size: ssl加密位數,默認2048;'
echo ' --ssl-cn: 國家代碼(2個字母的代號),默認CN;'
echo ' 使用示例:'
echo ' ./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
echo ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650'
echo ' ================================================================'}case "$1" in
-h|--help) help; exit;;esacif [[ $1 == '' ]];then
help;
exit;fiCMDOPTS="$*"for OPTS in $CMDOPTS;do
key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
case "$key" in
--ssl-domain) SSL_DOMAIN=$value ;;
--ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
--ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
--ssl-size) SSL_SIZE=$value ;;
--ssl-date) SSL_DATE=$value ;;
--ca-date) CA_DATE=$value ;;
--ssl-cn) CN=$value ;;
esacdone# CA相關配置CA_DATE=${CA_DATE:-3650}CA_KEY=${CA_KEY:-cakey.pem}CA_CERT=${CA_CERT:-cacerts.pem}CA_DOMAIN=cattle-ca# ssl相關配置SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}SSL_DATE=${SSL_DATE:-3650}SSL_SIZE=${SSL_SIZE:-2048}## 國家代碼(2個字母的代號),默認CN;CN=${CN:-CN}SSL_KEY=$SSL_DOMAIN.keySSL_CSR=$SSL_DOMAIN.csrSSL_CERT=$SSL_DOMAIN.crtecho -e "\033[32m ---------------------------- \033[0m"echo -e "\033[32m | 生成 SSL Cert | \033[0m"echo -e "\033[32m ---------------------------- \033[0m"if [[ -e ./${CA_KEY} ]]; then
echo -e "\033[32m ====> 1. 發現已存在CA私鑰,備份"${CA_KEY}"為"${CA_KEY}"-bak,然后重新創建 \033[0m"
mv ${CA_KEY} "${CA_KEY}"-bak
openssl genrsa -out ${CA_KEY} ${SSL_SIZE}else
echo -e "\033[32m ====> 1. 生成新的CA私鑰 ${CA_KEY} \033[0m"
openssl genrsa -out ${CA_KEY} ${SSL_SIZE}fiif [[ -e ./${CA_CERT} ]]; then
echo -e "\033[32m ====> 2. 發現已存在CA證書,先備份"${CA_CERT}"為"${CA_CERT}"-bak,然后重新創建 \033[0m"
mv ${CA_CERT} "${CA_CERT}"-bak
openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"else
echo -e "\033[32m ====> 2. 生成新的CA證書 ${CA_CERT} \033[0m"
openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"fiecho -e "\033[32m ====> 3. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"cat > ${SSL_CONFIG} <<EOM
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOMif [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
cat >> ${SSL_CONFIG} <<EOM
subjectAltName = @alt_names
[alt_names]
EOM
IFS=","
dns=(${SSL_TRUSTED_DOMAIN})
dns+=(${SSL_DOMAIN})
for i in "${!dns[@]}"; do
echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
done
if [[ -n ${SSL_TRUSTED_IP} ]]; then
ip=(${SSL_TRUSTED_IP})
for i in "${!ip[@]}"; do
echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
done
fifiecho -e "\033[32m ====> 4. 生成服務SSL KEY ${SSL_KEY} \033[0m"openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}echo -e "\033[32m ====> 5. 生成服務SSL CSR ${SSL_CSR} \033[0m"openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}echo -e "\033[32m ====> 6. 生成服務SSL CERT ${SSL_CERT} \033[0m"openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \
-CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \
-days ${SSL_DATE} -extensions v3_req \
-extfile ${SSL_CONFIG}echo -e "\033[32m ====> 7. 證書制作完成 \033[0m"echoecho -e "\033[32m ====> 8. 以YAML格式輸出結果 \033[0m"echo "----------------------------------------------------------"echo "ca_key: |"cat $CA_KEY | sed 's/^/ /'echoecho "ca_cert: |"cat $CA_CERT | sed 's/^/ /'echoecho "ssl_key: |"cat $SSL_KEY | sed 's/^/ /'echoecho "ssl_csr: |"cat $SSL_CSR | sed 's/^/ /'echoecho "ssl_cert: |"cat $SSL_CERT | sed 's/^/ /'echoecho -e "\033[32m ====> 9. 附加CA證書到Cert文件 \033[0m"cat ${CA_CERT} >> ${SSL_CERT}echo "ssl_cert: |"cat $SSL_CERT | sed 's/^/ /'echoecho -e "\033[32m ====> 10. 重命名服務證書 \033[0m"echo "cp ${SSL_DOMAIN}.key tls.key"cp ${SSL_DOMAIN}.key tls.keyecho "cp ${SSL_DOMAIN}.crt tls.crt"cp ${SSL_DOMAIN}.crt tls.crt./create_self-signed-cert.sh --ssl-domain=admission-example.admission-example.svc.cluster.local --ssl-trusted-domain=admission-example,admission-example.admission-example.svc -ssl-trusted-ip=127.0.0.1
.key的為秘鑰
.crt為域名的證書
csr文件為證書申請文件
ca開頭的為根證書和秘鑰
編寫MutatingWebhookConfiguration和ValidatingWebhookConfiguration
apiVersion: admissionregistration.k8s.io/v1kind: MutatingWebhookConfigurationmetadata:
name: mutating-example labels:
app: admission-examplewebhooks:
- name: admission-example.naturelr.cc clientConfig:
service:
name: admission-example namespace: admission-example path: "/mutate"
port: 8080
# 證書進行base64編碼
caBundle: {{CA}}
rules:
- operations: [ "CREATE" ]
apiGroups: ["apps", ""]
apiVersions: ["v1"]
resources: ["deployments","services"]
admissionReviewVersions: ["v1", "v1beta1"]
sideEffects: None # 只有ns上擁有admission-webhook-example: enabled才生效
namespaceSelector:
matchLabels:
admission-webhook-example: enabled---apiVersion: admissionregistration.k8s.io/v1kind: ValidatingWebhookConfigurationmetadata:
name: validation-example labels:
app: admission-examplewebhooks:
- name: admission-example.naturelr.cc clientConfig:
service:
name: admission-example namespace: admission-example path: "/validate"
port: 8080
caBundle: {{CA}}
rules:
- operations: [ "CREATE" ]
apiGroups: ["apps", ""]
apiVersions: ["v1"]
resources: ["deployments","services"]
admissionReviewVersions: ["v1", "v1beta1"]
sideEffects: None namespaceSelector:
matchLabels:
admission-webhook-example: enabled開發上面定義的兩個接口validate,mutate
監聽的端口和上面配置的端口一直,且使用創建的證書
...
http.HandleFunc("/validate", validate)
http.HandleFunc("/mutate", mutate)
http.HandleFunc("/ping", func(w http.ResponseWriter, r *http.Request) {
fmt.Fprintln(w, "pong")
})
svr := http.Server{
Addr: ":8080",
ReadTimeout: time.Minute,
WriteTimeout: time.Minute,
}
go func() {
if *key == "" || *cert == "" {
fmt.Println("http服務啟動成功")
if err := svr.ListenAndServe(); err != nil {
log.Fatalln(err)
}
}
fmt.Println("https服務啟動成功")
if err := svr.ListenAndServeTLS(*cert, *key); err != nil {
log.Fatalln(err)
}()
}實現mutate的部分,我們需要給滿足條件的deployment和service添加一個名為
admission-example.naturelr.cc/status": "test"的注解
這里和使用kubectl操作上很像只不過由代碼返回給k8s
func mutate(w http.ResponseWriter, r *http.Request) {
// 請求結構體
qar := admissionv1.AdmissionReview{}
_, _, err := serializer.NewCodecFactory(runtime.NewScheme()).UniversalDeserializer().Decode(body, nil, &qar)
checkErr(err)
type patchOperation struct {
Op string `json:"op"`
Path string `json:"path"`
Value interface{} `json:"value,omitempty"`
}
p := patchOperation{
Op: "add",
Path: "/metadata/annotations",
Value: map[string]string{"admission-example.naturelr.cc/status": "test"},
}
patch, err := json.Marshal([]patchOperation{p})
checkErr(err)
// 返回給k8s的消息
are := &admissionv1.AdmissionReview{
TypeMeta: apimetav1.TypeMeta{
APIVersion: qar.APIVersion,
Kind: qar.Kind,
},
Response: &admissionv1.AdmissionResponse{
Allowed: true,
Patch: patch,
PatchType: func() *admissionv1.PatchType {
pt := admissionv1.PatchTypeJSONPatch return &pt }(),
UID: qar.Request.UID,
},
}
resp, err := json.Marshal(are)
checkErr(err)
fmt.Println("響應:", string(resp))
w.WriteHeader(200)
w.Write(resp)}validate中主要驗證service和deployment中標簽是否有admission字段如果就沒有則拒絕訪問
func validate(w http.ResponseWriter, r *http.Request) {
// 請求結構體
qar := admissionv1.AdmissionReview{}
_, _, err := serializer.NewCodecFactory(runtime.NewScheme()).UniversalDeserializer().Decode(body, nil, &qar)
checkErr(err // 處理邏輯 從請求的結構體判斷是是否滿足條件
var availableLabels map[string]string
requiredLabels := "admission"
var errMsg error
switch qar.Request.Kind.Kind {
case "Deployment":
var deploy appsv1.Deployment if err := json.Unmarshal(qar.Request.Object.Raw, &deploy); err != nil {
log.Println("無法解析格式:", err)
errMsg = err }
availableLabels = deploy.Labels case "Service":
var service corev1.Service if err := json.Unmarshal(qar.Request.Object.Raw, &service); err != nil {
log.Println("無法解析格式:", err)
errMsg = err }
availableLabels = service.Labels default:
msg := fmt.Sprintln("不能處理的類型:", qar.Request.Kind.Kind)
log.Println(msg)
errMsg = errors.New(msg)
}
var status *apimetav1.Status var allowed bool
if _, ok := availableLabels[requiredLabels]; !ok || errMsg != nil {
msg := "不符合條件"
if err != nil {
msg = fmt.Sprintln(errMsg)
}
}
status = &apimetav1.Status{
Message: msg,
Reason: apimetav1.StatusReason(msg),
Code: 304,
}
allowed = false
} else {
Message: "通過",
status = &apimetav1.Status{
Reason: "通過",
Code: 200,
}
allowed = true
}
// 返回給k8s的消息
are := &admissionv1.AdmissionReview{
TypeMeta: apimetav1.TypeMeta{
APIVersion: qar.APIVersion,
Kind: qar.Kind,
},
Response: &admissionv1.AdmissionResponse{
Allowed: allowed,
Result: status,
UID: qar.Request.UID,
},
}
resp, err := json.Marshal(are)
checkErr(err)
fmt.Println("響應:", string(resp))
w.WriteHeader(200)
w.Write(resp)完整項目在https://github.com/NatureLR/admission-example
在打了admission-webhook-example: enabled標簽下的ns中隨便創建一個應用會發現被拒絕
在給deployment打上了設定的標簽之后就可以創建了,且deployment多了一個注解
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/127890.html
摘要:最終,將使用服務器端應用年中國論壇提案征集現已開放論壇讓用戶開發人員從業人員匯聚一堂,面對面進行交流合作。 作者:Antoine Pelisse(Google Cloud,@apelisse) showImg(https://segmentfault.com/img/bVbnxjT?w=1727&h=373); 聲明式(Declarative)配置管理,也稱為配置即代碼(configu...
摘要:最終,將使用服務器端應用年中國論壇提案征集現已開放論壇讓用戶開發人員從業人員匯聚一堂,面對面進行交流合作。 作者:Antoine Pelisse(Google Cloud,@apelisse) showImg(https://segmentfault.com/img/bVbnxjT?w=1727&h=373); 聲明式(Declarative)配置管理,也稱為配置即代碼(configu...
摘要:安全功能的最新引入是一組稱為準入控制器的插件。通過將標志傳遞給服務器來配置啟用的準入控制器集。本討論將僅關注基于的準入控制器。摘要準入控制器為安全性提供了顯著優勢。 作者:Malte Isberner(StackRox) Kubernetes極大地提高了當今生產中后端群集的速度和可管理性。由于其靈活性、可擴展性和易用性,Kubernetes已成為容器編排器的事實標準。Kubernete...
摘要:安全功能的最新引入是一組稱為準入控制器的插件。通過將標志傳遞給服務器來配置啟用的準入控制器集。本討論將僅關注基于的準入控制器。摘要準入控制器為安全性提供了顯著優勢。 作者:Malte Isberner(StackRox) Kubernetes極大地提高了當今生產中后端群集的速度和可管理性。由于其靈活性、可擴展性和易用性,Kubernetes已成為容器編排器的事實標準。Kubernete...
摘要:年的堅持,改變了新華三,也改變了,只為了把它做到極致。華夏銀行高度重視終端準入控制,并且選擇了新華三產品。經過與新華三的合作,華夏銀行實現了從總行到分行到支行的全行終端準入控制管理。15年時間,可以改變很多人,改變很多事情,改變很多公司。15年的堅持,改變了新華三,也改變了EAD,只為了把它做到極致。與時俱進的EAD最早的第一代EAD產品,誕生于2004年,當時新華三剛剛成立,作為公司核心主...
閱讀 430·2024-11-07 18:25
閱讀 130683·2024-02-01 10:43
閱讀 923·2024-01-31 14:58
閱讀 893·2024-01-31 14:54
閱讀 82948·2024-01-29 17:11
閱讀 3224·2024-01-25 14:55
閱讀 2036·2023-06-02 13:36
閱讀 3133·2023-05-23 10:26
