问题标签 [kubernetes-security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
63 浏览

kubernetes - Kubernetes 健康检查公共访问

假设您有微服务并运行许多节点。每个节点都向互联网公开服务,并且它们还具有内部使用的健康休息服务,但它们应该是私有的。

您如何在 Kubernetes 中进行私人健康检查?

Kubernetes Ingress Controller 是唯一的方法吗?

0 投票
1 回答
64 浏览

kubernetes - 将主机路径用于具有限制的持久卷

有没有办法配置 k8s,以便工作节点上的预定义主机路径仅适用于属于特定命名空间的 pod,而其他命名空间中的其他 pod 无法挂载它。

0 投票
1 回答
762 浏览

kubernetes - 将外部 NFS 导出与 kubernetes pod 一起使用

有没有办法配置 k8s,以便在某些外部 nfs 服务器上预先定义的 nfs 导出,仅适用于属于特定命名空间的 pod,而其他命名空间中的其他 pod 无法挂载它。

0 投票
3 回答
4907 浏览

kubernetes - 将 RBAC 视为系统的 EKS Kubernetes 用户:匿名

我一直在关注这篇文章来创建对我的 kubernetes 集群(在 Amazon EKS 上运行)的用户访问。我确实创建了密钥 csr,批准了请求并为用户下载了证书。然后我确实使用密钥和 crt 创建了一个 kubeconfig 文件。当我使用这个 kubeconfig 运行 kubectl 时,我被识别为system:anonymous.

我希望用户被识别但被拒绝访问。

我确实为该用户创建了一个带有admin(也尝试过cluster-admin)角色的 ClusterRoleBinding ,但这对于这一步并不重要。我不确定如何进一步调试 1)是否创建了用户或 2)如果我错过了一些配置。

任何帮助表示赞赏!

0 投票
1 回答
2179 浏览

kubernetes - Kubernetes [RBAC]:有权访问特定 Pod 的用户

我需要将命名空间内的一组 pod 的访问权限授予外部支持。我一直在阅读有关 RBAC API、[Cluster]Roles 和 [Cluster]Role Bindings 的信息;但我找不到任何关于如何将角色应用于一组 pod(基于注释或标签)的信息。有谁知道是否可以这样做?

这是我现在使用的角色,需要将其限制为特定的 pod 集:

如果你们需要更多细节,请告诉我。

谢谢。

0 投票
1 回答
396 浏览

kubernetes - 多主 K8s 集群推荐的证书策略是什么?

多主 K8s 集群部署对每个服务、每个控制器节点使用唯一的证书是不典型的吗?我见过的大多数指南都会为每个服务(API、控制器、调度程序)生成唯一的证书,然后将这些证书用于每个控制器节点上的同名服务。

Kubernetes 是否允许或阻止每个服务、每个节点的唯一证书?使用 DNS/IP SAN,应该仍然可以让每个服务响应一个单一的集群地址,所以我很好奇这个决定是否是为了更简单的说明,或者它实际上是我缺少的一些要求。

谢谢你。

0 投票
1 回答
1117 浏览

authentication - 未能发现支持的资源

我正在尝试创建具有有限命名空间访问权限的用户。创建了名为 test 的命名空间,还创建了 Group:programmers, User:frontend。通过以下http://docs.bitnami.com/kubernetes/how-to/configure-rbac-in-your-kubernetes-cluster/为用户生成凭据:前端

我创建了一个角色。这是我的角色.yml

我创建了角色绑定。这是角色绑定.yml

我说我的部署文件为

我在创建角色和角色绑定时使用以下命令

创建了前端开发人员角色和前端部署角色绑定。

同样,我正在使用该命令kubectl create -f node-deployment.yml进行部署创建。部署已成功创建和删除。在这里,我在创建部署时没有提及任何用户。所以,我正在尝试使用以下命令与用户一起创建部署。

我正面临这样的错误

我的疑问是:是否有必要在deployment.yml文件中提及用户?

0 投票
2 回答
789 浏览

kubernetes - 私有子网中的本地 Kubernetes 集群

我想在我们的本地数据中心内运行一个具有 1 个主节点和 2 个工作节点的 Kubernetes 集群,所有 3 个节点都位于不同的单独私有子网中。在将前端应用程序暴露给实现良好 Kubernetes 安全性的公共网络时,实现 Kubernetes 集群的最佳策略是什么?

0 投票
2 回答
169 浏览

kubernetes - Kubernetes 集群上相互交互的 RESTful 服务是否需要身份验证?

我们有一个微服务架构,并且有 REST 服务通过 HTTP 相互交互。所有这些服务都托管在 Kubernetes 集群上。我们是否需要对此类服务交互进行显式身份验证,或者 Kubernetes 是否为其提供了足够的安全性?

0 投票
2 回答
1144 浏览

kubernetes - TLS 引导,--token-auth-file,用户“system:anonymous”无法创建证书签名请求

为什么我在 api-server 上设置 --token-auth-file 并在工作节点上设置 --bootstrap-kubeconfig,我在 apiserver 和工作节点上指定用户名是“kubelet-bootstrap”,我得到错误说用户“系统:匿名”?

错误:无法运行 Kubelet:无法创建证书签名请求:certificatesigningrequests.certificates.k8s.io 被禁止:用户“system:anonymous”无法在集群范围内创建 certificatesigningrequests.certificates.k8s.io

Kubernetes版本v1.8.3

下面是我的配置

api服务器:

/var/lib/kubernetes/bootstrap.csv




工作节点:

/etc/kubelet/bootstrap.kubeconfig.yaml


从工作节点记录

I0821 08:49:50.916993 6232 bootstrap.go:57] 使用 bootstrap kubeconfig 生成 TLS 客户端证书、密钥和 kubeconfig 文件

错误:无法运行 Kubelet:无法创建证书签名请求:certificatesigningrequests.certificates.k8s.io 被禁止:用户“system:anonymous”无法在集群范围内创建 certificatesigningrequests.certificates.k8s.io


从 apiserver 登录

I0821 08:05:05.726968 5 rbac.go:116] RBAC DENY:用户“system:anonymous”组 [“system:unauthenticated”] 无法在集群范围内“创建”资源“certificatesigningrequests.certificates.k8s.io” I0821 08: 05:05.727015 5 authorization.go:59] 禁止:“/apis/certificates.k8s.io/v1beta1/certificatesigningrequests”,原因:“”

谢谢您的帮助