OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text 121 123 124 124 124 125 126 127 127 127 127 128 128 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 134 138 150 156 156 162 167 172 176 189 目 目录 录 3 OpenShift Container Platform 4.13 认证 认证和授 和授权 权 4 第 1 章 身份验证和授权概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 此术语表定义了 OpenShift Container

、Harbor 认证过程 认证过程 a、 、dockerdaemon从 从docker registry拉取镜像。 拉取镜像。 b、如果 、如果dockerregistry需要进行授权时， 需要进行授权时，registry将会返回 将会返回401 Unauthorized响应，同时在响应中包含了 响应，同时在响应中包含了docker client如何进行认证的信息。 如何进行认证的信息。 c、 c、 、dockerclient根据 根据registry返回的信息，向 返回的信息，向auth server发送请求获取认证 发送请求获取认证token。 。 d、 、auth server则根据自己的业务实现去验证提交的用户信息是否存符合业务要求。 则根据自己的业务实现去验证提交的用户信息是否存符合业务要求。 e、用户数据仓库返回用户的相关信息。 、用户数据仓库返回用户的相关信息。 f、 、auth /push操作。认证信息会每次都带在请求头中 操作。认证信息会每次都带在请求头中 Harbor整体架构 整体架构 4、 、Harbor 认证流程 认证流程 a、首先，请求被代理容器监听拦截，并跳转到指定的认证服务器。 、首先，请求被代理容器监听拦截，并跳转到指定的认证服务器。 b、 、 如果认证服务器配置了权限认证，则会返回 如果认证服务器配置了权限认证，则会返回401。通知

敏感数据泄露攻击................................................................................34 2.6.3 身份认证攻击........................................................................................35 2.6.4 ......................................................................................41 3.4Istio 认证策略绕过攻击............................................................................... 43 3.4.1 攻击场景介绍 .............................................................................45 图 17 绕过 Istio JWT 认证访问结果........................................................45 图 18 云原生应用保护能力建设架构图................

更为有效的内存管理。 5 直接驱动程序体系结构的优势 在 VMware ESX 中，VMware ESX 直接驱动程序模型利用了经过认证和加强的 I/O 驱动程 序。这些驱动程序必须首先通过 VMware 和硬件供应商联合进行的严格测试和优化步骤，然 后才能被认证为可以与 VMware ESX 结合使用。将这些驱动程序包含在虚拟化管理程序中 后，VMware ESX 可以在 CPU 调度和内存资 (VMware)，还是要来自多个供应商且各自仅支持您的部分需求的多个产品？ 广泛硬件支持的优势 VMware 与系统 OEM 和外围设备制造商紧密协作，对其硬件进行 VMware ESX 认证，通常在首 次发布这些产品时或不久后就会取得认证。 虽然其他虚拟化平台供应商可能会声称，由于使用的是通用操作系统驱动程序，因此不需要硬件兼容 列表，但这个说法并不成立。例如，Citrix XenServer 和 Virtual Virtual Iron 4.4 支持的服务器 超过 450 个型号通过认证 104 个型号通过认证 54 个型号通过认证 支持的 HBA 超过 450 个型号通过认证 66 个型号通过认证 26 个型号通过认证 21 支持的 I/O 网卡 超过 160 个型号通过认证 51 个型号通过认证 11 个型号通过认证 22 VMware 支持种类最多的客户操作系统 VMware

预设路由规则进⾏匹配，匹配到的请求将被⽹关转发⾄对应上游服务。在此过程中，⽹关有能⼒根据 预设规则中不同插件的配置，使⽤⼀系列插件对请求从进⼊到离开的各个阶段进⾏操作。例如：请求 可能会经过⾝份认证（避免重放攻击、参数篡改等）、请求审计（请求来源信息、上游处理时⻓ 等）、路由处理（根据预设规则获取最终上游服务地址）、请求转发（⽹关将请求转发⾄上游⽬标节 点）、请求响应（上游处理完成后，⽹关将结果返回给调⽤⽅）等⼏个步骤。 多租⼾（多⼯作分区）：⽀持基于⼯作分区隔离的多租⼾模型，管理员可创建不同的⼯作分区，并 指定哪些⽤⼾对⼯作分区有哪些资源的访问权限； • 多环境：⽀持多
ETCD
集群，集群之间数据不共享；
• ⾝份验证：包含多种认证类插件，如
basic-auth、jwt-auth、key-auth、wolf-rbac
等。此外，借 助内置的
HMAC
插件，可使⽤
AK/SK
对请求参数进⾏签名与校验，以实现请求防篡改、请求防重 裸⾦属
✔
✔
✔
✔
✔
虚拟机
✔
✔
✔
✔
✔
Kubernetes
✔
✔
✔
✔
✔
ARM64
✔
✔
✔
✔
✔
鲲鹏（通过华为云认证）
✔
✖
✖
✖
✖
AWS、GCP、阿⾥云、腾讯云等公有云
✔
✔
✔
✔
✔
精细化路 由
URI
参数匹配
✔
✔
✔
✔
✔

逻辑用Golang重写，引入了Kubernetes。随着模块越来越多，复杂 的通信带来矛盾日渐突出：流量管理、监控… 最初的尝试：Gateway • 如右图，最初我们尝试用一个自研的 简单Gateway来提供统一的认证、授 权、限流、监控，但问题很快凸显出 来了： • Gateway是一个中心化的反向代 理，成为了微服务中的瓶颈，模 块流量会互相影响 • 大锅饭带来了复杂的配置管理， 渐渐难以为继 • Istio的架构和基本原理 • FreeWheel的痛点 FreeWheel的Istio实践 • 在FreeWheel，我们已经有一套复杂的自定义认证、授权机制，为了 充分利用Istio，我们通过扩展Istio来整合这些系统，涉及两方面： • 扩展Sidecar：加入认证支持，提供了对业务系统的认证支持，将用 户相关信息以header的形式传入mesh，后续的授权、监控、限流 都可以用Istio原生的机制来完成 • FreeWheel的Istio实践 • 右图为接入FreeWheel自定义认证和 授权模块的原理图 扩展Sidecar接入认证 • 修改 istio-system/istio-sidecar- injector 这个ConfigMap，加入自定 义反向代理 FreeWheel的Istio实践 • 通过在Sidecar中增加FreeWheel自定义认证支持，下游可以充分利用 Istio提供的授权、限流、监

• 解决微服务化后带来的问题 温饱问题 • 计算资源的快速分配 • 基本的监控 • 快速部署 • 易于分配的存储 • 易于访问的外围（负载均衡） • 服务注册和发现 致富问题 • 认证和授权 • 智能路由 • 流量管理 • 服务降级 • … • 微服务拆分原则 • 业务API设计 • 数据一致性保证 • 可扩展性考虑 • …Kubernetes对于微服务的支撑 Configmap、Secret 负载均衡 简单负载均衡，基于Iptables Roundrobin 流量控制 简单根据服务实例进行控制云平台微服务演进之基于API网关的微服务方案 API网关功能增强 • 安全认证 • 流量控制 • 审计日志 • 黑白名单 • …K8S集群 云平台微服务演进之基于Spring Cloud的微服务方案 NS A Service Zuul Nginx Eureka 智能路由（灰度、蓝绿） • 流量管理（超时、重试、熔断） • 故障处理 • 故障注入 • … Mixer • 前提条件检查：安全认证，黑白名单， ACL检查 • 限流管理 • 遥测报告：日志监控 控制平面 数据平面 Istio-Auth • 服务间认证 • 终端用户认证Istio的核心组件 • Envoy 是一个高性能轻量级代理，它掌控了service的入口流量和出口流量，它提供了很多内置功能，如动态负

Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 Operator，即 Red Hat Operator 和经认证的 Operator。 一些 Red Hat Operator 用来提供集群功能，如调度程序和问题检测器。其他 Operator 则可供您自助管理 并在应用程序中使用，例如 etcd。OpenShift Container Platform 还提供由社区构建和维护并经过认证的 Operator 。这些经过认证的 Operator 为传统应用程序提供 API 的平台。您可以选择提供 免费帐户的大型公共容器 registry，也可选择提供更多存储和特殊功能的高级版本。您还可以安装自己的 registry，供您的组织专用或有选择地共享给他人。 要获取红帽和认证合作伙伴提供的镜像，您可以从 Red Hat Registry 中提取。Red Hat Registry 存在于两 个位置：registry.access.redhat.com（无需身份验证，但已弃用）和

Platform 中的主要组件源自 Red Hat Enterprise Linux 和 相关的红帽技术。OpenShift Container Platform 得益于红帽企业级优质软件的严格测试和认证 计划。 开源开发模型。开发以开放方式完成，源代码可从公共软件存储库中获得。这种开放协作促进了 快速创新和开发。 虽然 Kubernetes 擅长管理应用程序，但它并未指定或管理平台级要求或部署过程。强大而灵活的平台管 Operator，即 Red Hat Operator 和经认证的 Operator。 一些 Red Hat Operator 用来提供集群功能，如调度程序和问题检测器。其他 Operator 则可供您自助管理 并在应用程序中使用，例如 etcd。OpenShift Container Platform 还提供由社区构建和维护并经过认证的 Operator 。这些经过认证的 Operator 为传统应用程序提供 API 的平台。您可以选择提供 免费帐户的大型公共容器 registry，也可选择提供更多存储和特殊功能的高级版本。您还可以安装自己的 registry，供您的组织专用或有选择地共享给他人。 要获取红帽和认证合作伙伴提供的镜像，您可以从 Red Hat Registry 中提取。Red Hat Registry 存在于两 个位置：registry.access.redhat.com（无需身份验证，但已弃用）和

通过应用Pod 中增加一个安全 Sidecar，以API接口的形式为APP及其他Sidecar 提供基础的身 份颁发、身份验证功能  解耦应用的业务逻辑与认证授权逻辑，减少开发量；  提供密码学安全的认证授权逻辑，提高安全性；  全网统一的认证授权方式，去凭证，减少攻击面；  为每个应用建立唯一的全局应用身份标识，提供服务调用全链路溯源能力，及可问责能 力（accountability）。使用可信身份服务构建敏感数据下发通道 ID、应用名等)，并返回给应用 B。  应用 B 根据安全Sidecar返回的可信属性，进行权限校验逻辑。使用可信身份服务构建敏感数据下发通道使用可信身份服务构建敏感数据下发通道 密钥更新通道 安全Sidecar 的认证能力中依赖密钥等敏感信 息，在参考社区SDS方案的基础上，实现敏感 信息的管理及安全下发通道。  用户将密钥等信息通过CRD方式提交至K8s， 通过K8s的RBAC方式控制访问权限  拓展Citadel