centos k8s安裝權限設置

在CentOS上安裝Kubernetes（k8s）時，權限設置是一個關鍵步驟，以確保集群的安全性和穩定性。以下是詳細的權限設置步驟和最佳實踐：

1. 身份認證和授權

• 配置kubeconfig文件：

  • 在master節點上配置kubeconfig文件，包含訪問Kubernetes API的必要憑證。
  • 如果需要在其他節點上執行kubectl命令，可以將master節點上的kubeconfig文件復制到其他節點，并設置相應的環境變量KUBECONFIG。

• 創建ServiceAccount和Role：

  • 創建一個ServiceAccount，用于給用戶賦予權限。例如：

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: my-service-account
    

  • 創建一個Role，定義用戶的權限。例如：

    apiVersion: rbac.authorization.k8s.io/v1
    kind: Role
    metadata:
      name: my-role
    rules:
    - apiGroups: [""]
      resources: ["pods"]
      verbs: ["get", "list", "watch", "create", "update", "delete"]
    

• 綁定Role和ServiceAccount：

  • 創建RoleBinding，將Role綁定到ServiceAccount。例如：

    apiVersion: rbac.authorization.k8s.io/v1
    kind: RoleBinding
    metadata:
      name: my-role-binding
    roleRef:
      kind: Role
      name: my-role
      apiGroup: rbac.authorization.k8s.io
    subjects:
    - kind: ServiceAccount
      name: my-service-account
      namespace: default
    

• 驗證權限：

  • 使用以下命令檢查用戶是否具有足夠的權限：

    kubectl auth can-i create pods --namespace default
    

  • 如果返回結果為"yes"，則表示用戶具有相應的權限。

2. 系統安全策略

• 禁用不必要的超級用戶：
  • 通過查看/etc/passwd文件，檢測并鎖定不必要的超級賬戶。
• 刪除不必要的賬號和組：
  • 刪除系統默認的額外賬戶和組，如adm、lp、sync等，以減少系統被攻擊的風險。
• 強化用戶口令：
  • 設置復雜的口令，包含大寫字母、小寫字母、數字和特殊字符，并且長度大于10位?？梢酝ㄟ^修改/etc/login.defs文件來強制執行這些要求。
• 保護口令文件：
  • 使用chattr命令給/etc/passwd、/etc/shadow、/etc/group和/etc/gshadow文件加上不可更改屬性，以防止未授權訪問。
• 設置root賬戶自動注銷時限：
  • 通過修改/etc/profile文件中的TMOUT參數，設置root賬戶的自動注銷時限。
• 限制su命令：
  • 編輯/etc/pam.d/su文件，限制只有特定組的用戶才能使用su命令切換為root。
• 限制普通用戶的敏感操作：
  • 刪除或修改/etc/security/console.apps下的相應程序的訪問控制文件，防止普通用戶執行關機、重啟等敏感操作。
• 禁用ctrl+alt+delete重啟命令：
  • 修改/etc/inittab文件，禁用ctrl+alt+del組合鍵重啟機器的命令。
• 設置開機啟動服務權限：
  • 確保/etc/rc.d/init.d/目錄下所有文件的權限，只有root用戶可以操作這些服務。
• 避免登錄時顯示系統信息：
  • 編輯/etc/securetty文件，限制root用戶只能在特定的tty設備上登錄。
• 限制NFS網絡訪問：
  • 確保/etc/exports文件具有最嚴格的訪問權限設置。
• 配置防火墻：
  • 使用firewalld或iptables配置防火墻規則，限制對服務器的訪問，只允許必要的端口對外開放。
• 定期更新系統和軟件包：
  • 定期更新操作系統和軟件包，以修復已知漏洞和安全問題。

3. Kubernetes安全策略

• 創建命名空間：

  • 命名空間用于隔離不同的資源，可以在其中定義不同的安全策略。

  apiVersion: v1
  kind: Namespace
  metadata:
    name: my-namespace
  

• 配置網絡策略：

  • 通過Network Policy可以限制Pod之間的通信，提高網絡安全性。

  apiVersion: networking.k8s.io/v1
  kind: NetworkPolicy
  metadata:
    name: deny-all
  spec:
    podSelector: {}
    policyTypes:
    - Ingress
    - Egress
  

• 啟用加密通信：

  • 通過啟用加密通信，可以確保在Kubernetes集群中傳輸的數據是安全的。

  openssl genrsa -out ca.key 2048
  openssl req -x509 -new -nodes -key ca.key -subj "/CNmy-ca" -days 10000 -out ca.crt
  kubectl create secret generic my-secret --from-file ca.crt
  kubectl apply -f encrypted-service.crt
  kubectl apply -f encrypted-service.yaml
  

通過以上步驟，您可以在CentOS上成功安裝Kubernetes并設置權限，確保系統的安全性和穩定性。建議根據實際情況調整和優化這些安全措施，以適應特定的業務需求和環境。