k8s权限控制RBAC

最新推荐文章于 2023-05-14 14:08:19 发布
最新推荐文章于 2023-05-14 14:08:19 发布
阅读量1.2k 收藏
点赞数 2
分类专栏: k8s go 文章标签: golang kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Peerless__/article/details/127845010
版权
go 同时被 2 个专栏收录
20 篇文章 4 订阅
订阅专栏
k8s
12 篇文章 10 订阅
订阅专栏

1、简介

kubernetes集群所有的交互都是通过apiServer来进行的,因此k8s对权限的控制就尤其重要。

从1.6版本起,kubernetes默认启用RBAC访问控制策略。RBAC(Role-Based Access Control):基于角色的访问控制

相关概念:

RBAC中4种顶级资源:Role、ClusterRole、RoleBinding、ClusterRoleBinding

  • Role:角色,包含一组权限的规则。没有拒绝规则,只是附加运行。Namespace隔离,只作用于命名空间

  • ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace

  • RoleBinding:作用于命名空间内,将ClusterRole或Role绑定于User、Group或ServiceAccount

  • ClusterRoleBinding:作用于整个集群,将ClusterRole或Role绑定于User、Group或ServiceAccount

  • 用户:k8s有两种用户:User和ServiceAccount。其中user是给人来使用的,serviceAccount是给进程来使用的。当一个运行在k8s中的进程需要访问apiServer时,我们就需要给其创建一个serviceAccount,并通过role来限制这个serviceAccount的权限,最后通过rolebinding将role绑定到该serviceAccount上。

可以通过kubectl create 来创建role、clusterrole、rolebinding、clusterrolebinding和serviceAccount

在这里插入图片描述

 

1.1 创建serviceAccount

命令如下:

kubectl create sa <Name>
或
kubectl create serviceAccount <Name>


# 例如
kubectl create serviceaccount my-sa
  • Name: 要创建的serviceAccount的名字

 

1.2 创建role

命令如下:

kubectl create role <RoleName> [options]

常用options:
    --resource=[]:
        Resource that the rule applies to
    --verb=[]:
        Verb that applies to the resources contained in the rule
        
# 例如: 创建一个名为role-test的role,可以操作的资源为pod和deployment,可以进行的操作为get,create,list,watch,update,delete
kubectl create role role-test --resource=pod,deployment --verb=get,create,list,watch,update,delete
  • RoleName:要创建的role的名字
  • –resource:指定该role可以操作的资源,例如pod、deployment、service等
  • –verb:指定该role对资源可以进行的操作,例如get、list、watch、update、create、delete、patch等

 

1.3 创建rolebinding

命令如下:

kubectl create rolebinding <RBNAME> [options]

常用options:
   --role='':
        Role this RoleBinding should reference
   --serviceaccount=[]:
        Service accounts to bind to the role, in the format <namespace>:<name>. The flag can be
        repeated to add multiple service accounts.
   --clusterrole='':
        ClusterRole this RoleBinding should reference

# 例如 将role-test和my-sa进行绑定,绑定后my-sa就拥有了role中定义的规则
kubectl create rolebinding rb-test --role=role-test --serviceaccount=my-sa
  • RBNAME:rolebinding的名字
  • –role:要进行绑定的role的name
  • –clusterrole:要进行绑定的clusterrole的name
  • –serviceaccount:要进行绑定的serviceaccount的name

 

2、实战案例

下面将使用client go编写一个程序,该程序可以对default命名空间下的deploy进行create、update、get和delete的操作。最后将该程序部署到k8s的deploy中。

代码如下:

package main

import (
	"context"
	"github.com/gin-gonic/gin"
	appsv1 "k8s.io/api/apps/v1"
	corev1 "k8s.io/api/core/v1"
	v1 "k8s.io/apimachinery/pkg/apis/meta/v1"
	"k8s.io/client-go/kubernetes"
	appsresv1 "k8s.io/client-go/kubernetes/typed/apps/v1"
	"k8s.io/client-go/rest"
	"k8s.io/client-go/util/retry"
	"k8s.io/klog/v2"
	"net/http"
)

func main() {

	// 1、创建配置文件,由于要在k8s中运行,使用InClusterConfig可以获取到serviceAccount的配置
	config, err := rest.InClusterConfig()
	if err != nil {
		panic(err)
	}

	// 2、创建clientset
	clientset, err := kubernetes.NewForConfig(config)
	if err != nil {
		panic(err)
	}
	deployClient := clientset.AppsV1().Deployments(corev1.NamespaceDefault)

	r := gin.Default()
	r.PUT("/deploy", func(c *gin.Context) {
		if err := CreateDeploy(deployClient); err != nil {
			JsonErr(c, err)
			return
		}

		c.JSON(http.StatusOK, gin.H{
			"message": "success",
		})
	})

	r.POST("/deploy", func(c *gin.Context) {
		if err := UpdateDeploy(deployClient); err != nil {
			JsonErr(c, err)
			return
		}
		c.JSON(http.StatusOK, gin.H{
			"message": "success",
		})
	})

	r.GET("/deploy", func(c *gin.Context) {
		if dep, err := ListDeploy(deployClient); err != nil {
			JsonErr(c, err)
		} else {
			if dep == nil {
				c.JSON(http.StatusOK, gin.H{
					"message": "success",
					"data":    "nil",
				})
				return
			}
			c.JSON(http.StatusOK, gin.H{
				"message": "success",
				"data": map[string]interface{}{
					"name":     dep.Name,
					"replicas": dep.Spec.Replicas,
					"image":    dep.Spec.Template.Spec.Containers[0].Image,
				},
			})
		}
	})

	r.DELETE("/deploy", func(c *gin.Context) {
		if err := DeleteDeploy(deployClient); err != nil {
			JsonErr(c, err)
			return
		}
		c.JSON(http.StatusOK, gin.H{
			"message": "success",
		})
	})

	r.Run(":9000")
}

func JsonErr(ctx *gin.Context, err error) {
	ctx.JSON(http.StatusOK, gin.H{
		"message": err.Error(),
	})
}

func CreateDeploy(client appsresv1.DeploymentInterface) error {
	klog.Info("CreateDeploy...........")
	replicas := int32(2)
	deploy := appsv1.Deployment{
		TypeMeta: v1.TypeMeta{
			Kind:       "Deployment",
			APIVersion: "apps/v1",
		},
		ObjectMeta: v1.ObjectMeta{
			Name:      "deploy-nginx-demo",
			Namespace: corev1.NamespaceDefault,
		},
		Spec: appsv1.DeploymentSpec{
			Replicas: &replicas,
			Selector: &v1.LabelSelector{
				MatchLabels: map[string]string{
					"app": "nginx",
				},
			},
			Template: corev1.PodTemplateSpec{
				ObjectMeta: v1.ObjectMeta{
					Name: "nginx",
					Labels: map[string]string{
						"app": "nginx",
					},
				},
				Spec: corev1.PodSpec{
					Containers: []corev1.Container{
						{
							Name:  "web",
							Image: "nginx:1.12",
							Ports: []corev1.ContainerPort{
								{
									Protocol:      corev1.ProtocolTCP,
									ContainerPort: 80,
								},
							},
						},
					},
				},
			},
		},
	}

	dep, err := client.Create(context.Background(), &deploy, v1.CreateOptions{})
	if err != nil {
		klog.Errorf("create deployment error:%v", err)
		return err
	}
	klog.Infof("create deployment success, name:%s", dep.Name)

	return nil
}

func UpdateDeploy(client appsresv1.DeploymentInterface) error {
	klog.Info("UpdateDeploy...........")
	// 当有多个客户端对同一个资源进行操作时,会发送错误。使用RetryOnConflict来重试,重试相关参数由DefaultRetry来提供
	err := retry.RetryOnConflict(retry.DefaultRetry, func() error {
		// 查询要更新的deploy
		deploy, err := client.Get(context.Background(), "deploy-nginx-demo", v1.GetOptions{})
		if err != nil {
			klog.Errorf("can't get deployment, err:%v", err)
			return nil
		}

		// 修改参数后进行更新
		replicas := int32(1)
		deploy.Spec.Replicas = &replicas
		deploy.Spec.Template.Spec.Containers[0].Image = "nginx:1.13"

		_, err = client.Update(context.Background(), deploy, v1.UpdateOptions{})
		if err != nil {
			klog.Errorf("update deployment error, err:%v", err)
		}
		return err
	})

	if err != nil {
		klog.Errorf("update deployment error, err:%v", err)
		return err
	} else {
		klog.Infof("update deployment success")
	}

	return nil
}

func ListDeploy(client appsresv1.DeploymentInterface) (*appsv1.Deployment, error) {
	klog.Info("ListDeploy...........")
	deplist, err := client.List(context.Background(), v1.ListOptions{})
	if err != nil {
		klog.Errorf("list deployment error, err:%v", err)
		return nil, err
	}

	for _, dep := range deplist.Items {
		klog.Infof("deploy name:%s, replicas:%d, container image:%s", dep.Name, *dep.Spec.Replicas, dep.Spec.Template.Spec.Containers[0].Image)
	}
	if deplist != nil && len(deplist.Items) > 0 {
		return &deplist.Items[0], nil
	}

	return nil, nil
}

func DeleteDeploy(client appsresv1.DeploymentInterface) error {
	klog.Info("DeleteDeploy...........")
	// 删除策略
	deletePolicy := v1.DeletePropagationForeground
	err := client.Delete(context.Background(), "deploy-nginx-demo", v1.DeleteOptions{PropagationPolicy: &deletePolicy})
	if err != nil {
		klog.Errorf("delete deployment error, err:%v", err)
		return err
	} else {
		klog.Info("delete deployment success")
	}

	return nil
}

 

dockerfile:

FROM golang:1.18 AS builder

WORKDIR /app
COPY . .
ENV GOPROXY https://goproxy.cn
RUN CGO_ENABLED=0 GOARCH=amd64 GOOS=linux go build -o app main.go


FROM alpine

WORKDIR /app

COPY --from=builder /app/app .

EXPOSE 9000

CMD ["./app"]

 

1、使用dockerfile构建镜像:

docker build -t incluster_test .

2、使用K8S的deployment来部署,创建deploy.yaml

# 小技巧,自己写yaml文件太麻烦,我们可以使用命令来生成,然后再修改
kubectl create deploy incluster-test --replicas=1 --image=incluster_test --dry-run=client -o yaml > deploy.yaml

# 对deploy中内容进行修改

apiVersion: apps/v1
kind: Deployment
metadata:
  name: incluster-test
  namespace: default
spec:
  replicas: 1
  selector:
    matchLabels:
      app: myapp
  template:
    metadata:
      labels:
        app: myapp
    spec:
      serviceAccountName: incluster-test-sa
      containers:
      - name: test-incluster
        image: incluster_test
        imagePullPolicy: Never
        ports:
        - containerPort: 9000

3、创建serviceAccount:创建role目录,在role中创建sa.yaml

mkdir role
cd role
kubectl create sa incluster-test-sa --dry-run=client -o yaml > sa.yaml

4、创建role:创建role.yaml

kubectl create role incluster-test-role --resource=deployment --verb=create,get,list,update,delete --dry-run=client -o yaml > role.yaml

5、创建rolebinding:创建rb.yaml

kubectl create rolebinding incluster-test-rb --serviceaccount=default:incluster-test-sa --role=incluster-test-role --dry-run=client -o yaml > rb.yaml

6、部署:

# 在role目录中执行下面命令,创建serviceAccount、role和rolebinding
kubectl create -f .

[root@master role]# kubectl create -f .
rolebinding.rbac.authorization.k8s.io/incluster-test-rb created
role.rbac.authorization.k8s.io/incluster-test-role created
serviceaccount/incluster-test-sa created

# 部署deployment
[root@master test_incluster]# kubectl create -f deploy.yaml
deployment.apps/incluster-test created

# 查看deploy和pod
[root@master test_incluster]# kubectl get deploy,pod
NAME                             READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/incluster-test   1/1     1            1           98s

NAME                                  READY   STATUS    RESTARTS   AGE
pod/incluster-test-779cc788f4-dfntb   1/1     Running   0          98s

# 使用curl来访问
[root@master test_incluster]# kubectl get pod -o wide
NAME                              READY   STATUS    RESTARTS   AGE    IP            NODE     NOMINATED NODE   READINESS GATES
incluster-test-779cc788f4-dfntb   1/1     Running   0          2m6s   10.244.0.40   master   <none>           <none>

# 使用curl,PUT方法来创建deploy
[root@master test_incluster]# curl -X PUT 10.244.0.40:9000/deploy
{"message":"success"}

# GET方法查看Pod
[root@master test_incluster]# curl  10.244.0.40:9000/deploy
{"data":{"image":"nginx:1.12","name":"deploy-nginx-demo","replicas":2},"message":"success"}

# POST方法更新Pod
[root@master test_incluster]# curl -X POST 10.244.0.40:9000/deploy
{"message":"success"}
[root@master test_incluster]# curl  10.244.0.40:9000/deploy
{"data":{"image":"nginx:1.13","name":"deploy-nginx-demo","replicas":1},"message":"success"}

# DELETE方法删除Pod
[root@master test_incluster]# curl -X DELETE 10.244.0.40:9000/deploy
{"message":"success"}
CoreDump丶
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
StorageClass集成NFS时rbac权限部署文件,用于k8s部署StorageClass服务
04-15
StorageClass集成NFS时rbac权限部署文件,用于k8s部署StorageClass服务
CKA备考实验 | kubernetes的授权
COCO_gsta的博客
09-27 125
书籍来源:《CKA/CKAD应试指南:从Docker到Kubernetes完全攻略》授权一般是基于RBAC(Role Based Access Control,基于角色的访问控制)的方式,即并不会直接把权限授权给用户,而是把几个权限放在一个角色里,然后把角色授权给用户,如图15-1所示。这里把一系列的权限放在role1里,然后把这个角色授权给用户,此时这个用户就会具有这个角色所有的权限
kubernetesk8s)之rbac权限管理详解
qq_44823950的博客
08-14 2014
kubernetesk8s)之rabc权限
kubernetes--RBAC权限管理
m0_57911290的博客
01-15 8941
calico/coredns/dashboard >>都需要访问apiserver简称SA,是一种用于让程序访问K8sAPI的服务账号1.当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限2.当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。
看一眼就会的k8s权限管理手把手教学
记忆的博客
11-18 3037
Role #角色,基于名称空间下的资源RoleBinding #角色绑定,基于名称空间下的资源ClusterRole #集群角色,基于集群级别下的资源ClusterRoleBinding #集群角色绑定,基于集群级别下的资源其中,Role和Role是针对于名称空间级别,授予其所在名称空间范围内的许可权限。而ClusterRole和ClusterRoleBinding是针对于集群级别,授予其所在集群范围内的许可权限
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2270
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
Kubernetesk8s权限管理RBAC详解
匠人精神,持之以恒!
10-16 7937
文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制(以ServiceAccount展开讲解)1)介绍2)Role和ClusterRole3)RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1)User1、创建K8S 用户2、对用户授权2)Group1、创建K8S 用户和用户组2、对组授权3)ServiceAccount4)为ServiceAccount生成Tok
rakkess:查看访问权限-kubectl插件以显示k8s服务器资源的访问矩阵
02-03
瑞克斯 查看访问权限-kubectl插件以显示服务器资源的访问矩阵介绍您是否想过在提供的kubernetes集群上拥有什么访问权限? 对于单个资源,您可以使用kubectl auth can-i list deployments ,但是也许您正在寻找完整的...
k8s集群部署Harbor镜像仓库
最新发布
01-02
本地镜像存储: Harbor提供了一个本地的、私有的镜像存储库,允许你在本地集群内管理和存储容器镜像。这减少了对公共Docker Hub等外部仓库...版本控制和回滚: Harbor支持版本控制,你可以追踪每个镜像的历史变更,这在
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
audit.k8s.io/v1 audit.k8s.io/v1beta1和audit.k8s.io/v1alpha1事件。 Metadata日志级别最适合最小化日志大小。 要执行所有API调用,有时必须向用户或应用程序授予广泛的访问权限,以免在失败的API请求上使代码...
权限管理器:权限管理器是一个使Kubernetes RBAC和用户管理,Web UI FTW变得理智的项目
02-03
权限管理器是由开发的应用程序,它为Kubernetes启用了超级简单且用户友好的RBAC管理。 如果您正在寻找一种简单直观的方式来管理Kubernetes集群中的用户,那么这里就是正确的地方。 使用权限管理器,您可以通过一个...
K8s权限管理
a13568hki的博客
04-29 4183
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
K8S学习笔记-003】权限管理RBAC
DeusExMachina_V的博客
08-05 1043
Role RoleBinding ClusterRole ClusterRoleBinding ServiceAccount
K8s RBAC使用
tamako0v0的博客
07-23 722
1.RBAC简介 1.1 基本概念   RBAC(Role-Based Access Control,基于角色的访问控制)在k8s v1.5中引入,在v1.6版本时升级为Beta版本,相对于其他访问控制方式,RBAC具有如下优势: 对集群中的资源和非资源权限均有完整的覆盖 整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kubectl或API进行操作 可以在运行时进行调整,无需重启API Server 要使用RBAC授权模式,需要在API Server的启动参数...
k8s基础11——安全控制RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1500
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权。
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 467
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC
Kubernetes权限管理详解
zou8944的博客
12-03 1797
前面介绍过Kubernetes的结构组成,其中API Server用于与外界的交互,我们常用的命令行工具kubectl、UI工具lens、云服务商提供的WebUI,最终都是通过Restfule API的形式,走HTTP协议,到达API Server。此时就带来权限控制问题。 如上图,对来自外部的请求,Api Server会经过三个组件 Authentication:认证,验证用户的合法性,并从中提取出用户信息,如用户名、组等 Authorization:鉴权,鉴定该用户是否有权限访问指定资源 Admis
Docker -------harbor 私有仓库概述及构建
weixin_56270746的博客
07-23 772
有可视化的Web管理界面,可以方便管理Docker镜像,又提供了多个项目的镜像权限管理及控制功能Harbor是VMware公司开源的企业级DockerRegistry项目Harbor以Docker公司开源的Registry为基础,提供了图形管理UI、基于角色的访问控制(RoleBasedAccessControl)、AD/LDAI们成以心宙计日志(Auditlogging)等企业用户需求的功能,同时还原生支持中文。...
k8s----基于角色的权限控制RBAC
jerry_smx的博客
02-16 218
k8s----基于角色的权限控制RBAC
kubeadm部署k8s生成token
07-25
根据引用\[2\]中的命令,可以使用以下命令生成kubeadm部署k8s所需的token: ``` kubectl describe secret -n kubernetes-dashboard $(kubectl get secret -n kubernetes-dashboard | grep kubernetes-dashboard-token | awk '{print $1}') | grep token | awk '{print $2}' ``` 这个命令会返回一个token,可以用于kubeadm部署k8s。 #### 引用[.reference_title] - *1* *2* *3* [《云原生之K8s实战》基于kubeadm部署K8S集群](https://blog.csdn.net/weixin_57099902/article/details/129496993)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值