OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text 121 123 124 124 124 125 126 127 127 127 127 128 128 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 134 138 150 156 156 162 167 172 176 189 目 目录 录 3 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 4 第 1 章 身份验证和授权概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 此术语表定义了 OpenShift Container

：目标的主机名或者完全限定域名 ui_url_protocol： ：http或 或https。默认为 。默认为http db_password：用于 ：用于db_auth的 的MySQL数据库的根密码。更改此密码进行任何生产用途 数据库的根密码。更改此密码进行任何生产用途 max_job_workers：（默认值为 ：（默认值为3）作业服务中的复制工作人员的最大数量。对于每个映像复制作业， ）作业服务中的复制工作人员的最大数量。对于每个映像复制作业， ssl_cert_key： ：SSL密钥的路径，仅当协议设置为 密钥的路径，仅当协议设置为https时才应用 时才应用 secretkey_path：用于在复制策略中加密或解密远程注册表的密码的密钥路径 ：用于在复制策略中加密或解密远程注册表的密码的密钥路径 3、创建 、创建 https 证书以及配置相关目录权限 证书以及配置相关目录权限 openssl genrsa -des3 -out server.key com 的管理员门户（将 的管理员门户（将reg.yourdomain.com更改为您的主机名 更改为您的主机名harbor.cfg）。请注意，默 ）。请注意，默 认管理员用户名 认管理员用户名/密码为 密码为admin / Harbor12345 6、上传镜像进行上传测试 、上传镜像进行上传测试 a、指定镜像仓库地址 、指定镜像仓库地址 vim /etc/docker/daemon.json

敏感数据泄露攻击................................................................................34 2.6.3 身份认证攻击........................................................................................35 2.6.4 ......................................................................................41 3.4Istio 认证策略绕过攻击............................................................................... 43 3.4.1 攻击场景介绍 .............................................................................45 图 17 绕过 Istio JWT 认证访问结果........................................................45 图 18 云原生应用保护能力建设架构图................

INGRESS CONTROLLER 日志 6.7. 查看 INGRESS CONTROLLER 状态 6.8. 配置 INGRESS CONTROLLER 6.8.1. 设置自定义默认证书 6.8.2. 删除自定义默认证书 6.8.3. 扩展 Ingress Controller 6.8.4. 配置 Ingress 访问日志 6.8.5. Ingress Controller 分片 10 10 名称，用于配置多个功能： 对于 LoadBalancerService 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 一个 domain endpointPublishingStrategy 的值不能被更新。 defaultCertificate defaultCertificate 的值是一个到包括由 Ingress controller 提供的默认证书的 secret 的指代。当 Routes 没有指定其自身证书时，使用 defaultCertificate。 secret 必须包含以下密钥和数据：* tls.crt：证书文件内容 * tls

v1.cri".registry.configs."cof-lee.com:5443".tls] insecure_skip_verify = true #跳过安全认证 #如果下载镜像需要身份验证则配置下面3行，不需要身份验证则不用配置 [plugins."io.containerd.grpc.v1.cri".registry.configs."cof-lee t-hash xxxxxxxx --cri-socket unix:///var/run/cri- dockerd.sock ★第3章、安装后续步骤 ④k8s认证文件.kube/config 在 刚 刚 安 装 好 的 master 结 点 上 有 操 作 整 个 k8s 集 群 的 认 证 文 件/etc/kubernetes/admin.conf 把它复 secret资源是区分命名空间的 ★命令行方式创建secret 创建账号密码验证secret # kubectl create secret generic database-auth --from-literal=username=root --from- literal=password=passwd123 创建存储于某文件的认证secret # kubectl create secret

预设路由规则进⾏匹配，匹配到的请求将被⽹关转发⾄对应上游服务。在此过程中，⽹关有能⼒根据 预设规则中不同插件的配置，使⽤⼀系列插件对请求从进⼊到离开的各个阶段进⾏操作。例如：请求 可能会经过⾝份认证（避免重放攻击、参数篡改等）、请求审计（请求来源信息、上游处理时⻓ 等）、路由处理（根据预设规则获取最终上游服务地址）、请求转发（⽹关将请求转发⾄上游⽬标节 点）、请求响应（上游处理完成后，⽹关将结果返回给调⽤⽅）等⼏个步骤。 的能⼒，并⾃动过滤不健康节点，以提⾼整体服务稳定性。 1.3
功能架构
API
⽹关主要包含了如下功能模块：
⽤⼾系统：借助⽤⼾系统，管理员将对系统内各个⽤⼾进⾏权限资源划分，⽤⼾不可越权访问资 源。⽀持账⼾密码登陆与
SSO
登陆；
• 权限系统：内置基于⻆⾊的权限管理系统（RBAC），管理员可借助控制台创建不同⻆⾊，通过将 ⽤⼾与⻆⾊绑定，可实现针对某类⽤⼾细粒度的权限管控； • 多租⼾（多 多租⼾（多⼯作分区）：⽀持基于⼯作分区隔离的多租⼾模型，管理员可创建不同的⼯作分区，并 指定哪些⽤⼾对⼯作分区有哪些资源的访问权限； • 多环境：⽀持多
ETCD
集群，集群之间数据不共享；
• ⾝份验证：包含多种认证类插件，如
basic-auth、jwt-auth、key-auth、wolf-rbac
等。此外，借 助内置的
HMAC
插件，可使⽤
AK/SK
对请求参数进⾏签名与校验，以实现请求防篡改、请求防重

for Mac。 如同 macOS 其它软件一样，安装也非常简单，双击下载的 .dmg 文件，然后将那只叫 Moby 的鲸鱼图标拖拽到 Application 文件夹即可（其间需要输入用户密码）。 运行 macOS 42 从应用中找到 Docker 图标并点击运行。 运行之后，会在右上角菜单栏看到多了一个鲸鱼图标，这个图标表明了 Docker 的运行状态。 第一次点击图标，可能会看到这个安装成功的界面，点击 中直接下载镜像来实现。 注册 你可以在 https://cloud.docker.com 免费注册一个 Docker 账号。 登录 可以通过执行 docker login 命令交互式的输入用户名及密码来完成在命令行界面登录 Docker Hub。 你可以通过 docker logout 退出登录。 拉取镜像 你可以通过 docker search 命令来查找官方仓库中的镜像，并利用 json 增加和上边一样的 字符串即可。 私有仓库 124 私有仓库高级配置 上一节我们搭建了一个具有基础功能的私有仓库，本小节我们来使用 Docker Compose 搭建一 个拥有权限认证、TLS 的私有仓库。 新建一个文件夹，以下步骤均在该文件夹中进行。 准备站点证书 如果你拥有一个域名，国内各大云服务商均提供免费的站点证书。你也可以使用 openssl 自 行签发证书。

Client 密码，以便用户在登录 View 桌面时无需总是提供凭据，应在 View 连接服务器上配置此功能的策略。 使用适用于 Android 的 VMware View Client 6 VMware, Inc. 此功能可用于通过 View 5.1 或更高版本的 View 连接服务器连接到 View 桌面的 View Client 1.5 和更高版 本。如果策略配置为允许保存密码，并且如果 View Client 可以完全验证 View 连接服务器提供的服务器 证书，则用户可以保存他们的密码。有关配置该策略的说明，请参阅《VMware View 管理指南》文档 中“设置用户身份验证”一章中的“允许用户保存凭据”的主题。 n 确认桌面池是否设置为使用 PCoIP 显示协议。请参阅《VMware View 管理指南》文档。 使用嵌入式 RSA SecurID 软件令牌 如果您创建 View Client 连接到 View 连接服务器时，会显示用于粘贴此 URL 的对话框。 适用于 Android 的 View Client 也支持基于文件的分配。向用户发布基于文件的软件令牌后，身份认证服务器 会生成一个 XML 格式的令牌文件，因其扩展名为 .sdtid，所以称为 SDTID 文件。View Client 可以直接导入 SDTID 文件。 安装软件令牌后，最终用户可输入 PIN

章 章 安装 安装 OPENSHIFT CONTAINER PLATFORM 2.1. 概述 2.2. 与 OPENSHIFT CONTAINER PLATFORM 进行交互 2.3. 理解角色和认证 第 第 3 章 章 配置 配置 OPENSHIFT CONTAINER PLATFORM 3.1. 概述 3.2. 更改身份提供者中的日志 3.3. 创建用户帐户 3.4. 部署 OPENSHIFT 要安装 OpenShift Container Platform，您需要具备以下条件： 至少两台物理的或虚拟的 RHEL 7+ 机器，具有完全限定的域名（可以是真实的域名，也可以是网 络中的域名）和 无密码的 SSH 访问权限。本指南使用 master.openshift.example.com 和 node.openshift.example.com。这些机器必须能够使用这些域名相互 ping 通。如果您使用 安装 CRI-O: # yum -y install cri-o 安装 Docker: # yum -y install docker 2.1.5. 设置无密码 SSH 访问 在 master 上运行安装程序前，请设置无密码 SSH 访问权限，因为安装程序需要它才能访问该机器。为 此，请运行以下命令： $ ssh-keygen 按照提示操作，并在被要求输入 pass phrase 时按回车键。

名称，用于配置多个功能： 对于 LoadBalancerService 端点发布策略，domain 被用来配置 DNS 记录。请参阅 endpointPublishingStrategy。 当使用生成的默认证书时，该证书对域 域及其子域 子域有效。请参阅 defaultCertificate。 该值会发布到独立的 Route 状态，以便用户了解目标外部 DNS 记录的 位置。 domain 值在所有 providerParameters.gcp.clientAccess 子字段。 defaultCertificate defaultCertificate 的值是一个到包括由 Ingress controller 提供的默认证书的 secret 的指代。当 Routes 没有指定其自身证书时，使用 defaultCertificate。 secret 必须包含以下密钥和数据：* tls.crt：证书文件内容 * tls 指定路由器可以保存数据以查找匹配的路由的时长。 如果把这个值设置得太短，对于 edge-terminated, reencrypted, 或 passthrough 的路由，则可能会导致路由器回退到使用默认证书，即使 正在使用一个更加匹配的证书时也是如此。如果未设置，则默认检查延 迟为 5s。 tunnelTimeout 指定隧道连接在隧道闲置期间保持打开的时长，包括 websockets。如果未设置，则默认超时为