OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 Last Updated: 2024-02-17 OpenShift Container Platform 4.13 认证和授权 为用户和服务配置用户身份验证和访问控制 法律通告 法律通告 Copyright © 2024 Red Hat, Inc. The text . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 身份 身份验证 验证和授 和授权 权概述 概述 1.1. OPENSHIFT CONTAINER PLATFORM 身份验证和授权的常见术语表 1.2. 关于 OPENSHIFT CONTAINER PLATFORM 中的身份验证 GITLAB 身份提供程序 7.8. 配置 GOOGLE 身份提供程序 7.9. 配置 OPENID CONNECT 身份提供程序 第 第 8 章 章 使用 使用 RBAC 定 定义 义和 和应 应用 用权 权限 限 8.1. RBAC 概述 8.2. 项目和命名空间 8.3. 默认项目 5 5 6 7 8 8 8 9 11 11 11 11 12 13 14 16 17 19 19

预设路由规则进⾏匹配，匹配到的请求将被⽹关转发⾄对应上游服务。在此过程中，⽹关有能⼒根据 预设规则中不同插件的配置，使⽤⼀系列插件对请求从进⼊到离开的各个阶段进⾏操作。例如：请求 可能会经过⾝份认证（避免重放攻击、参数篡改等）、请求审计（请求来源信息、上游处理时⻓ 等）、路由处理（根据预设规则获取最终上游服务地址）、请求转发（⽹关将请求转发⾄上游⽬标节 点）、请求响应（上游处理完成后，⽹关将结果返回给调⽤⽅）等⼏个步骤。 多环境：⽀持多
ETCD
集群，集群之间数据不共享；
• ⾝份验证：包含多种认证类插件，如
basic-auth、jwt-auth、key-auth、wolf-rbac
等。此外，借 助内置的
HMAC
插件，可使⽤
AK/SK
对请求参数进⾏签名与校验，以实现请求防篡改、请求防重 放的需求，并能够达到鉴权的⽬的；

• 服务路由：API7
基于
Radixtree
实现⾼效的路由 裸⾦属
✔
✔
✔
✔
✔
虚拟机
✔
✔
✔
✔
✔
Kubernetes
✔
✔
✔
✔
✔
ARM64
✔
✔
✔
✔
✔
鲲鹏（通过华为云认证）
✔
✖
✖
✖
✖
AWS、GCP、阿⾥云、腾讯云等公有云
✔
✔
✔
✔
✔
精细化路 由
URI
参数匹配
✔
✔
✔
✔
✔

开发环境隔离 • 服务压测 • 自动化回归 • 流量录制 • 流量回放 • 无损上下线 • 服务预热 • 金丝雀发布 • A/B Test • 全链路灰度 • 服务鉴权 • 漏洞防护 • 配置鉴权 • 离群实例摘除 • 限流降级 • 同AZ优先路由 • 就近容灾路由 • 服务巡检 • 标签路由 • 服务超时和重试 基础治理能力 高阶治理能力 日常环境隔离最佳实践 云原生网关 1、网络不通 2、业务边缘部署 3、协议不同 4、安全域不同 5、跨region 云原生网关 云原生网关 Fuction（Serverless） App1（单体应用） 证书管理 认证登录 三方认证 WAF防护 限流熔断 风险预警 统一接入 流量调度 用户故事 • 来电 微服务治理全链路灰度最佳实践 • 斯凯奇 云原生网关最佳实践 来电 微服务治理全链路灰度最佳实践 app Dubbo 基线版本 RPC RPC 数据中心 Dubbo Gray Dubbo 基线版本 RPC RPC 微服务中心 app pos web MSE 云原生网关 认证鉴权服务 primweb web 订单中心 促销中心 商品中心 库存中心 渠道中心 用户中心 营销中心 会员中心 日志服务 安全 全链路监控 web服务 ES 云数据库 Rredis

kafka-logger ... APISIX在安信PaaS平台的应用 1、路由转发 2、认证 3、鉴权 4、链路 5、监控 6、日志 CAS 与 casbin 2、用户状态支持本地存储 3、用户状态支持redis存储 4、casbin 兼容 RBAC with domain 1、认证鉴权功能从业务代码剥离 APISIX helm模板 APISIX 插件模板 APISIX APISIX upstream&API 应用模板 应用发布 安信PaaS平台如何管理APISIX 版本、节点数、资源、配置文件 链路、监控、日志、认证、流控 APISIX 告警模板 对接内部告警平台 初始化 upstream 和 API service1 service2 service3 service1/* service2/* service3/* DB 中间件 发布 环境选择

海尔集团业务转型 - 架构演进 工业互联网 - 行业分析 海尔工业互联网 -才云整体解决方案 海尔工业互联网 - 才云整体解决方案 多集群管理 存 储 网 络 混合云 监控日志 基础服务 镜像仓库 认证鉴权 资源管理 面向业务开发 CI/CD 微服务 应用商店 面向业务管理 弹性伸缩 API Gateway 负载均衡 应用编排 日志监控 告警 服务发现 API 业务中台 APP-B APP-C Gateway Auth N Auth Z 协议适配: • 提供常用协议服务的接入、转换（Dubbo，XML） • 灵活定制化的数据变换 控制能力: • 认证鉴权机制 • 流量控制 • 黑白名单 • 服务路由 可靠高效: • 分布式，高可用 • 高性能，低延迟 • 线性扩容 海尔工业互联网 –微服务之监控日志 Node PrometheusServer（Pod） 8. 配置管理 9. 多种存储（NFS、GlusterFS、Ceph、NAS） Compass Compass 支持边缘容器服务 1. 集群和边缘节点共享资源 • 共享用户系统 • 共享认证和授权 • 共享监控告警系统 • 共享 Docker registry • 共享日志管理系统 Devop App to NS or Endpoint Server Compass K8S Cluster

......................................................................................23 2.3.2 容器提权和逃逸攻击............................................................................24 2.3.3 拒绝服务攻击... 敏感数据泄露攻击................................................................................34 2.6.3 身份认证攻击........................................................................................35 2.6.4 ......................................................................................41 3.4Istio 认证策略绕过攻击............................................................................... 43 3.4.1 攻击场景介绍

• 解决微服务化后带来的问题 温饱问题 • 计算资源的快速分配 • 基本的监控 • 快速部署 • 易于分配的存储 • 易于访问的外围（负载均衡） • 服务注册和发现 致富问题 • 认证和授权 • 智能路由 • 流量管理 • 服务降级 • … • 微服务拆分原则 • 业务API设计 • 数据一致性保证 • 可扩展性考虑 • …Kubernetes对于微服务的支撑 Configmap、Secret 负载均衡 简单负载均衡，基于Iptables Roundrobin 流量控制 简单根据服务实例进行控制云平台微服务演进之基于API网关的微服务方案 API网关功能增强 • 安全认证 • 流量控制 • 审计日志 • 黑白名单 • …K8S集群 云平台微服务演进之基于Spring Cloud的微服务方案 NS A Service Zuul Nginx Eureka Hardware，Storage，Networking Spring Cloud Kubernetes + Spring Cloud 看起来很美背后 • 功能上的重叠 • 服务降级 • 细粒度的鉴权（服务间的调用） • RPC支持 • 跨语言的问题 • …云平台微服务演进之Service Mesh云平台微服务演进之Service Mesh Pilot Envoy • 服务发现 •

Borg商用系统开发，具有轻量级，可移植性，高 灵活性等特点。 • CNCF是围绕Kubernetes构建容器软件全栈的基金会组织，提供Kubernetes和周边软件的技术孵化和服务提供商资质认证 6 容器技术迅猛发展，Kubernetes主宰容器编排调度引擎市场 2017年10月，Docker公司宣布支持Kubernetes 2017年10月17 日，在 DockerCon 欧洲大会上，容器供应商 全球TOP4、国内TOP1贡献： 5个maintainer，commits 3144  CNCF初创成员，国内唯一白金会员  K8S社区技术指导委员会13席位之一，国内唯一  首批KSCP认证厂商之一  主导核心设计：主导设计集群联邦，支持多调度器框架、亲和性调度 策略， 集群部署、运维监控增强 ，安全加固 CNCF & Kubenetes 社区  全球TOP3、国内TOP1贡献： 投资1160万元，节约机架 租赁及软硬件维保费用530 万元/年 1160 万 … … … 节约投资 Equipment 节约成本 530 万 中移动咕互娱运维平台承担所有业务APP用户鉴权、计费前端和广告推送，高峰并发请求25000次/秒、1.2亿次/小时。 客户问题： •资源利用率低：虚拟化模式弹性能力差，平台容量按最高业务峰值设计（300VM，4C8G），日常负荷下平台利用率<30%（一半时间利用

存储计算分离 • 分层 + 分⽚ • ⾼性能 + 强⼀致性 • ⽀持统⼀的 Queue 和 Stream 的接⼝。 • 丰富的企业级特性 • 多租户隔离 — 百万Topics — 跨地域复制 — 鉴权认证 • Pulsar 的根本不同 • Apache Pulsar 简介 • Pulsar 的⽣态和社区 • Pulsar 的根本不同 • Apache Pulsar 简介 •

Istio治理的不只是微服务，只要有访问的服务，都可以被治理。 Istio关键能力 流量管理 负载均衡 动态路由 灰度发布 可观察性 调用链 访问日志 监控 策略执行 限流 ACL 故障注入 服务身份和安全 认证 鉴权 平台支持 Kubernetes CloudFoundry Eureka 集成和定制 ACL 日志 配额 Consul 功能 扩展 Istio总体架构 Istio & Kubernetes：架构结合