K8S认证、授权与准入控制(RBAC)详解

最新推荐文章于 2024-10-13 22:18:04 发布
最新推荐文章于 2024-10-13 22:18:04 发布
阅读量3.9k 收藏 7
点赞数
分类专栏: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT8421/article/details/89389609
版权
本文详细介绍了Kubernetes的RBAC(Role-Based Access Control),包括认证、授权和准入控制机制。RBAC允许管理员通过API动态配置策略,通过Role、ClusterRole、RoleBinding和ClusterRoleBinding来管理用户和ServiceAccount的权限。文中还展示了如何创建User Account,创建并绑定Role和RoleBinding,以及ServiceAccount的授权过程。
摘要由CSDN通过智能技术生成

前言

  1. RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。
  2. 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必不可少的功 能,认证用于身份鉴别,而授权则实现权限分派 。 Kubemetes 以插件化的方式实现了这两种 功能,且分别存在多种可用的插件。 另外,它还支持准入控制机制,用于补充授权机制以实现更精细的访问控制功能 。
  3. API Server 作为 Kubernetes 集群系统的网关,是访问及管理资源对象的唯一人口,所有需要访问集群资源的组件,以及此前使用的 kubectl 命令等都要经由此网关进行集群访问和管理。
  4. RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数--authorization-mode=RBAC,如果使用的kubeadm安装的集群,都默认开启了RBAC,可以通过查看 Master 节点上 apiserver 的静态Pod定义文件: 
    [root@node-01 ~]# cat /etc/kubernetes/manifests/kube-apiserver.yaml 
···
- --authorization-mode=Node,RBAC
···
  5. 如果是二进制的方式搭建的集群,添加这个参数过后,记得要重启 apiserver 服务。

RBAC API资源对象

Kubernetes有一个很基本的特性就是它的所有资源对象都是模型化的 API 对象,允许执行增、删、改、查等操作,比如下面的这下资源:

  • Pods
  • ConfigMaps
  • Deployments
  • Nodes
  • Secrets
  • Namespaces

上面这些资源对象的可能存在的操作有:

  • create
  • get
  • delete
  • list
  • update
  • edit
  • watch
  • exec

用户账户和用户组

Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。

客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。

而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。

  • Use Account(用户账号):一般是指由独立于Kubernetes之外的其他服务管理的用 户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包 含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernetes 系统中 。
  • Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。
    K8S认证、授权与准入控制(RBAC)详解

Kubernetes 有着以下几个内建的用于特殊目的的组 。

  • system:unauthenticated 
最低0.47元/天 解锁文章
IT8421
关注
专栏目录
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1638
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 591
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC
关于Kubernetes(K8S认证含金量?
最新发布
weixin_67962166的博客
10-13 543
综上所述,从市场认可度也好,从供需关系也好,CKA认证以及后面的CKS认证无疑都是含金量很高的认证,不仅是用来检验自己知识经验是不是做到了与时俱进的试金石,更是未来企业岗位所必要的证书之一。根据CNCF的要求,Kubernetes越来越流行,目前它是市场上最佳的容器编排工具之一,也是运维工程师必备的技能之一。虽说今年的大环境不是很好,但是从招聘数据来看,K8S岗位薪资不降反而上涨不少,工作5年,薪资范围普遍。一个公司的业务如果是面向企业的容器化项目的,参与投标时提供CKA,CKS证书即可提升投标的成功率。
k8s创建用户账号——User Account
码农崛起
08-17 3396
用户账户和用户组 Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。Use Account(用户账号):一般是指由独
Kubernetes身份认证授权操作全攻略:K8s 访问控制入门
Rancher
08-14 825
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的Kubernetes和Pod外部用户...
【Linux39-15】k8s API 访问控制( sa+ua 认证RBAC授权准入控制
weixin_46069582的博客
03-24 1154
文章目录一、Kubernetes API 访问控制1.1 认证1.2 授权1.3 准入控制二、认证2.1 serviceAccount 不安全示例2.2 创建 serviceAccount2.3 创建 userAccount三、RBAC授权(基于角色的访问控制)3.1 Role 及 RoleBinding 示例3.2 ClusterRole 示例3.2.1 RoleBinding(指定namespace授权)3.2.2 ClusterRoleBinding(跨集群授权) 一、Kubernetes API
k8s的访问控制认证+授权+准入控制
yrx420909的博客
05-05 3304
1. kubernetes API 访问控制 由上图来介绍一下 Kubernetes API 的请求从发起到其持久化入库的一个流程。 首先看一下请求的发起,请求的发起分为两个部分: 第一个部分是人机交互的过程。 是大家非常熟悉的用 kubectl 对 apiserver 的一个请求过程; 第二个部分是 Pod 中的业务逻辑与 apiserver 之间的交互。 当我们的 apiserver 收到请...
k8s 基于RBAC认证授权介绍和实践
「 虚幻私塾」
01-23 914
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
k8sRBAC授权模式
weixin_37337210的博客
01-13 1099
导读 上一篇说了k8s授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色的访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式)。 --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kube.
K8S创建用户账号User Account并赋予权限
weixin_44207346的博客
06-12 603
【代码】K8S创建用户账号User Account并赋予权限。
创建k8s普通用户
Dang_Ni的博客
08-04 301
kind: ClusterRoleBinding #ClusterRoleBinding为集群级别的权限绑定。name: cluster-k8s_viewer-res-reader #增加可读性,命名规则:<用户>-<权限>#设置新集群(kubernetes),指明apiserver地址、k8s证书路径和隐藏证书,并保存在。#创建角色对象,指定权限。#使用k8s的ca.crt和ca.key进行签名生成证书。#将用户的验证信息添加进kubectl的配置。
k8s普通账号建立
cloud_engineer的博客
06-10 1309
本博客将创建一个用户devuser(自定义)只能管理demo空间
k8s创建普通用户
whz-emm的博客
10-27 1728
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
k8s - 安全认证RBAC
栋院
03-18 3040
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
k8s--基础--23.1--认证-授权-准入控制--介绍
zhou920786312的博客
08-15 251
对于k8s访问来讲,ssl认证能让客户端确认服务器的认证身份。我们在跟服务器通信的时候,需要服务器发过来一个证书,我们需要确认这个证书是不是ca签署的,如果是我们认可的ca签署的,里面的subj信息与我们访问的目标主机信息保持一致,没有问题,那么我们就认为服务器的身份得到认证了,k8s中最重要的是服务器还需要认证客户端的信息,kubectl也应该有一个证书,这个证书也是server所认可的ca签署的证书,双方需要互相认证,实现加密通信,这就是ssl认证。...
k8s安全管理:认证授权准入控制概述
weixin_51697758的博客
08-16 877
User Accounts(用户账户)和Service Accounts(服务账户)两种:UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,,kubeadm安装的k8s,默认用户账号是kubernetes-admin;APIServer需要对客户端做认证,使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config这里面保存了客户端访问API Server的密钥相关信息。...
k8s中手动创建User并认证授权供jenkins使用
novice的博客
11-10 2107
1. 手动创建原因 kubeadmin安装的k8s,用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,可以直接copy,二进制安装的不存在,需要手动生成包含useraccount的kubeconfig,k8s版本1.18,步骤如下: 1.1. 创建注意事项 创建useraccount:此处创建的是全局性的用户账户,只是通过认证Authentication,还没有权限添加集群资源,需要为用户kubernetes进一步添加授权。执行如下脚本生成user为kuber
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值