问题标签 [kubernetes-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - Kubernetes 健康检查公共访问
假设您有微服务并运行许多节点。每个节点都向互联网公开服务,并且它们还具有内部使用的健康休息服务,但它们应该是私有的。
您如何在 Kubernetes 中进行私人健康检查?
Kubernetes Ingress Controller 是唯一的方法吗?
kubernetes - 将主机路径用于具有限制的持久卷
有没有办法配置 k8s,以便工作节点上的预定义主机路径仅适用于属于特定命名空间的 pod,而其他命名空间中的其他 pod 无法挂载它。
kubernetes - 将外部 NFS 导出与 kubernetes pod 一起使用
有没有办法配置 k8s,以便在某些外部 nfs 服务器上预先定义的 nfs 导出,仅适用于属于特定命名空间的 pod,而其他命名空间中的其他 pod 无法挂载它。
kubernetes - 将 RBAC 视为系统的 EKS Kubernetes 用户:匿名
我一直在关注这篇文章来创建对我的 kubernetes 集群(在 Amazon EKS 上运行)的用户访问。我确实创建了密钥 csr,批准了请求并为用户下载了证书。然后我确实使用密钥和 crt 创建了一个 kubeconfig 文件。当我使用这个 kubeconfig 运行 kubectl 时,我被识别为system:anonymous
.
我希望用户被识别但被拒绝访问。
我确实为该用户创建了一个带有admin
(也尝试过cluster-admin
)角色的 ClusterRoleBinding ,但这对于这一步并不重要。我不确定如何进一步调试 1)是否创建了用户或 2)如果我错过了一些配置。
任何帮助表示赞赏!
kubernetes - Kubernetes [RBAC]:有权访问特定 Pod 的用户
我需要将命名空间内的一组 pod 的访问权限授予外部支持。我一直在阅读有关 RBAC API、[Cluster]Roles 和 [Cluster]Role Bindings 的信息;但我找不到任何关于如何将角色应用于一组 pod(基于注释或标签)的信息。有谁知道是否可以这样做?
这是我现在使用的角色,需要将其限制为特定的 pod 集:
如果你们需要更多细节,请告诉我。
谢谢。
kubernetes - 多主 K8s 集群推荐的证书策略是什么?
多主 K8s 集群部署对每个服务、每个控制器节点使用唯一的证书是不典型的吗?我见过的大多数指南都会为每个服务(API、控制器、调度程序)生成唯一的证书,然后将这些证书用于每个控制器节点上的同名服务。
Kubernetes 是否允许或阻止每个服务、每个节点的唯一证书?使用 DNS/IP SAN,应该仍然可以让每个服务响应一个单一的集群地址,所以我很好奇这个决定是否是为了更简单的说明,或者它实际上是我缺少的一些要求。
谢谢你。
authentication - 未能发现支持的资源
我正在尝试创建具有有限命名空间访问权限的用户。创建了名为 test 的命名空间,还创建了 Group:programmers, User:frontend。通过以下http://docs.bitnami.com/kubernetes/how-to/configure-rbac-in-your-kubernetes-cluster/为用户生成凭据:前端
我创建了一个角色。这是我的角色.yml
我创建了角色绑定。这是角色绑定.yml
我说我的部署文件为
我在创建角色和角色绑定时使用以下命令
创建了前端开发人员角色和前端部署角色绑定。
同样,我正在使用该命令kubectl create -f node-deployment.yml
进行部署创建。部署已成功创建和删除。在这里,我在创建部署时没有提及任何用户。所以,我正在尝试使用以下命令与用户一起创建部署。
我正面临这样的错误
我的疑问是:是否有必要在deployment.yml
文件中提及用户?
kubernetes - 私有子网中的本地 Kubernetes 集群
我想在我们的本地数据中心内运行一个具有 1 个主节点和 2 个工作节点的 Kubernetes 集群,所有 3 个节点都位于不同的单独私有子网中。在将前端应用程序暴露给实现良好 Kubernetes 安全性的公共网络时,实现 Kubernetes 集群的最佳策略是什么?
kubernetes - Kubernetes 集群上相互交互的 RESTful 服务是否需要身份验证?
我们有一个微服务架构,并且有 REST 服务通过 HTTP 相互交互。所有这些服务都托管在 Kubernetes 集群上。我们是否需要对此类服务交互进行显式身份验证,或者 Kubernetes 是否为其提供了足够的安全性?
kubernetes - TLS 引导,--token-auth-file,用户“system:anonymous”无法创建证书签名请求
为什么我在 api-server 上设置 --token-auth-file 并在工作节点上设置 --bootstrap-kubeconfig,我在 apiserver 和工作节点上指定用户名是“kubelet-bootstrap”,我得到错误说用户“系统:匿名”?
错误:无法运行 Kubelet:无法创建证书签名请求:certificatesigningrequests.certificates.k8s.io 被禁止:用户“system:anonymous”无法在集群范围内创建 certificatesigningrequests.certificates.k8s.io
Kubernetes版本v1.8.3
下面是我的配置
api服务器:
/var/lib/kubernetes/bootstrap.csv
工作节点:
/etc/kubelet/bootstrap.kubeconfig.yaml
从工作节点记录
I0821 08:49:50.916993 6232 bootstrap.go:57] 使用 bootstrap kubeconfig 生成 TLS 客户端证书、密钥和 kubeconfig 文件
错误:无法运行 Kubelet:无法创建证书签名请求:certificatesigningrequests.certificates.k8s.io 被禁止:用户“system:anonymous”无法在集群范围内创建 certificatesigningrequests.certificates.k8s.io
从 apiserver 登录
I0821 08:05:05.726968 5 rbac.go:116] RBAC DENY:用户“system:anonymous”组 [“system:unauthenticated”] 无法在集群范围内“创建”资源“certificatesigningrequests.certificates.k8s.io” I0821 08: 05:05.727015 5 authorization.go:59] 禁止:“/apis/certificates.k8s.io/v1beta1/certificatesigningrequests”,原因:“”
谢谢您的帮助