Kubernetes (十五) 认证与授权

已于 2024-01-20 17:49:35 修改
阅读量807 收藏 23
点赞数 23
文章标签: kubernetes 容器 云原生 运维 linux
于 2024-01-20 17:47:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BJZX_OL/article/details/135717322
版权

一. 访问控制                                                                                                              

二.UserAccount与serviceaccount区别                                                                                    将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多

                 1. 首先命令创建sa 

                2  把serviceaccount和pod绑定起来   vim pod3.yaml

apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  serviceAccountName: admin      #指定的sa创建的admin用户
  containers:
    - name: game2048
      image: reg.westos.org/westos/game2048
 

              3. 添加secrets到serviceaccount中

 kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

      #此时镜像拉取策略

      这里的私有仓库未公开仍然可以拉取

    三.UserAccount认证                                                    

 cd /etc/kubernetes/pki/                    #默认证书生成位置

 openssl genrsa -out test.key 2048  #生成自签名证书

openssl req -new -key test.key -out test.csr -subj "/CN=test"  #通过csr拿到test.key

 openssl  x509 -req -in test.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out test.crt -days 365 

 kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true #创建安全上下文(test用户)

kubectl config set-context test@kubernetes --cluster=kubernetes --user=test#创建对应的上下文切换

kubectl config use-context test@kubernetes                          #切换用户为test
kubectl config use-context kubernetes-admin@kubernetes  #切换用户为admin
     切换用户后执行命令报错因没有权限
        开始设置权限测试                         vim roles.yaml

         kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default   #在这里创建的
  name: myrole       #创建的角色
rules:
- apiGroups: [""]
  resources: ["pods"]  #针对pod设置的以下权限
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]

---
kind: RoleBinding  #通过绑定赋予给对象
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default
subjects:
- kind: User
  name: test      #绑定赋予给这个
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: myrole
  apiGroup: rbac.authorization.k8s.io

      设置权限测试 (2)           

           此时在文件中添加权限模块解决这个问题       

         记得切回admin用户   在上面文件中添加模块即可      vim roles.yaml

---
kind: ClusterRole    #全局资源
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: myclusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]  #针对的资源pod下命令
  verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"] #和资源deployment下面的命令
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding                #RoleBinding必须指定namespace
metadata:
  name: rolebind-myclusterrole
  namespace:  default           #指定的namespace
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

      设置权限测试 (3)           

    此时在文件中添加权限模块解决这个问题

        记得切回admin用户   在上面文件中添加模块即可      vim roles.yaml

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding               #ClusterRoleBinding全局授权
metadata:
  name: clusterrolebinding-myclusterrole
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

 回收实验: kubectl delete -f roles.yaml

                    kubectl config delete-user test

                    kubectl config delete-context test@kubernetes

   四. 服务账户的自动化                                                                                        


 

BJZX_OL
关注
  • 23
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
027 Kubernetes的Dashboard认证及分级授权.mp4
05-07
027 Kubernetes的Dashboard认证及分级授权.mp4
kafka-kubernetes-authenticator:Kafka Kubernetes身份验证者和授权
05-26
认证者身份验证器包括两个独立的部分: 客户端部分应与Kubernetes客户端一起使用卡夫卡经纪人应使用的服务器部分客户群使用Kafka客户端库(在Java中,由Apache Kafka项目提供)将authenticator-client模块作为依赖项...
2、Kubernetes 集群安全 - 认证1
08-04
Kubernetes集群中,安全是至关重要的,特别是对于认证机制,它是确保只有授权的实体能够访问和操作资源的关键。本文将详细阐述Kubernetes集群安全中的认证机制,主要关注HTTP Base认证、HTTP Token认证以及HTTPS...
kubernetes的用户权限认证体系
01-20
kubernetes认证 我们知道任何应用的控制都需要通过一定的认证之后,我们才可以获取到应用的控制权。而此处,我们来了解k8s的认证授权是怎么做。 像一般应用,都是提供一个登陆界面,然后我们输入账号密码,登陆后,...
kubernetes-starter:kubernetes入门,包括kubernetes概念,架构设计,部署环境构建,认证授权
02-03
"认证授权"是Kubernetes安全模型的重要组成部分。Kubernetes支持多种身份验证和授权机制,包括基于证书、Token、Service Account等的认证,以及ABAC(基于属性的访问控制)、RBAC(角色基础的访问控制)等授权策略。...
Kubernetes全名及其缩写K8S的正确读音
最新发布
Moehoo猛虎
08-23 229
这个视频给出了Kubernetes全名及其缩写K8S的正确读音。
【K8s】专题十二(2):Kubernetes 存储之 PersistentVolume
公众号:实施运维知识交流
08-20 2019
Kubernetes 专题 - 存储之 PersistentVolume
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(十二)
zerotoall的博客
08-19 267
思考一下问题: 56、简述Kubernetes PV和PVC? 57、简述Kubernetes PV生命周期内的阶段? 58、简述Kubernetes所支持的存储供应模式? 59、简述Kubernetes CSI模型? 60、简述Kubernetes Worker节点加入集群的过程? 参考答案:
K8S 版本发版
王小工小工历程
08-21 1034
K8S(Kubernetes)版本发版是一个涉及多个步骤的过程,旨在确保应用程序的顺利升级和部署。
k8s高版本(1,28)部署NodePort模式下的ingress-nginx的详细过程及应用案例
lwxvgdv的博客
08-19 1356
这个是nodeport模式下的,如果需要loadbalancer模式下的,看看博主下面以前的博客链接:k8s学习–负载均衡器matelLB的详细解释与安装链接:k8s学习–ingress详细解释与应用(nginx ingress controller))
2024-07-12 - 基于 sealos 部署高可用 K8S 管理系统
weixin_36532747的博客
08-20 503
Sealos 是一款以 Kubernetes 为内核的云操作系统发行版。它以云原生的方式,抛弃了传统的云计算架构,转向以 Kubernetes 为云内核的新架构,使企业能够像使用个人电脑一样简单地使用云。selaos 可以快速的完成 K8s 集群的搭建和部署用于产品的快速交付,但是需要具备一定的代码研发能力可以足够掌握软件运行的细节并且结合实际的业务需求进行开发。
k8s笔记——资源对象
e891377的专栏
08-20 1007
以下列举的内容都是 Kubernetes 中的对象(Object),这些对象都可以在 YAML 文件中作为一种 API 类型来配置。
k8s学习(三十八) 使用OpenTelemetry+jaeger实现链路追踪
文若书生的专栏
08-19 713
OpenTelemetry 可以用于从应用程序收集数据。它是一组工具、API 和 SDK 集合,我们可以使用它们来检测、生成、收集和导出遥测数据(指标、日志和追踪),以帮助分析应用的性能和行为。
K8S Watch
王小工小工历程
08-20 996
watch机制是一种非常重要的功能,它允许客户端实时获取Kubernetes集群中资源对象的状态变更通知。
【K8s】Java项目部署时为什么要用k8s?
小冷coding的博客
08-19 750
在 Java 项目部署中使用 Kubernetes(k8s)的重要意义。
k8s-daemonSet控制器
houduanq的博客
08-20 257
DaemonSet 确保全部(或者某些)节点上运行一个 Pod 的副本。daemonSet控制器的调度策略-pod在那些节点运行-默认master不运行。1、污点容忍度影响了daemonSet控制器的调度:下面查看一下节点的污点容忍度。daemonSet控制器的调度策略-pod在那些节点运行-默认master不运行。daemonSet控制器的调度策略-pod在那些节点运行-默认master不运行。daemonSet控制器的调度策略-pod在那些节点运行-默认master不运行。
使用kubeadm快速部署一套K8S集群
w2304948626的博客
08-19 861
集群的统一入口,各组件协调者,以RESTful API提供接口服务,所有对象资源的增删改查和监听操作都交给APIServer处理后再提交给Etcd存储。处理集群中常规后台任务,一个资源对应一个控制器,而ControllerManager就是负责管理这些控制器的。根据调度算法为新创建的Pod选择一个Node节点,可以任意部署,可以部署在同一个节点上,也可以部署在不同的节点上。etcd分布式键值存储系统。用于保存集群状态数据,比如Pod、Service等对象信息。
K8S基础和安装
cc2022928的博客
08-19 904
k8s用于自动部署、扩展和管理“容器化(containerized)应用程序”的开源系统,可以理解成 K8S 是负责自动化运维管理多个容器化程序(比如 Docker)的集群,是一个生态极其丰富的容器编排框架工具。
K8s节点状态 NotReady排查
FLGB
08-19 923
检查节点的网络连接,确保它能正常访问控制平面和其他节点。确保控制平面的关键组件(如 API Server、Controller Manager、Scheduler)正常运行,因为这些组件的问题也可能导致节点状态异常。状态可能是由于多种原因引起的,尤其是在资源过量分配(overcommitment)时,常见的原因包括节点资源(CPU、内存)不足、关键组件失败、磁盘压力等。首先,检查节点的资源使用情况,以确定是否由于资源过度使用导致节点不可用。可以看到节点内存、磁盘等信息状态都是未知的,初步怀疑节点状态已经。
Kubernetes集群安全详解:RBAC授权策略与操作指南
本篇文档主要关注于 Kubernetes 集群的安全管理,特别是针对 Authorization(授权)和 RBAC(基于角色的访问控制)的深入解析。首先,让我们理解什么是 Authorization 和鉴权的区别:Authorization 主要是验证通信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值