运维开发实践 - Kubernetes - 用户权限管控

已于 2023-12-14 21:24:53 修改
阅读量526 收藏 9
点赞数 12
文章标签: 运维开发 kubernetes 运维
于 2023-12-14 21:19:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yuan_xii/article/details/135004188
版权

1.背景

当我们有一个k8s 集群,并且需要将该集群提供给用户使用的时候,我们当然只希望用户只能操作我们预先定义好的资源,即权限管控,RBAC

2. 介绍

Kubernetes中有2种权限管控,一种是为Pod中的应用提供权限管理;另一种是为用户提供权限管理;kubernetes内部使用RBAC这一套鉴权机制;

2.1.实现


openssl genrsa -out liyuan.key 2048
openssl req -new -key liyuan.key -out liyuan.csr -subj "/CN=liyuan"
# 登录集群主节点查看该目录下的证书,基于kubernetes证书签发新证书
openssl x509 -req -in liyuan.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out liyuan.crt -days 365
openssl x509 -in liyuan.crt -text -noout

# 创建用户liyuan,并未该用户绑定上述生成的证书
kubectl config set-credentials liyuan --client-certificate=./sa/liyuan.crt --client-key=./sa/liyuan.key 

# 设置当前上下文
# --namespace=default表示用户使用kubectl无需主动指定namespace, kubectl get po 会默认获取kube-system namespace下Pod资源
# --user=liyuan 别名
kubectl config set-context liyuan --cluster=kubernetes --namespace=default --user=liyuan
kubectl config use-context liyuan
kubectl config get-contexts

2.2. Role & RoleBinding(namespace层面资源权限管理)

  • Role 用户设置某个命名空间内的资源权限,必须和namespace绑定
  • RoleBinding用于绑定账户和Role
# role-user.yaml
# 为用户liyuan赋予default namespace下获取Pod资源的权限
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: role-liyuan
rules:
  - apiGroups: [""] # "" 标明 core API 组
    resources: ["pods", "pods/log"]
    verbs: ["get", "watch", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebinding-liyuan
subjects:
  - kind: User
    name: liyuan
    apiGroup: rbac.authorization.k8s.io
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: role-liyuan

kubectl apply -f role-user.yaml

2.3. ClusterRole & ClusterRoleBinding (集群层面资源权限管理)

# clusterrole-user.yaml
# 为用户liyuan赋予获取集群下所有secrets资源的权限
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: clusterrole-liyuan
rules:
  - apiGroups: [ "" ]
    # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
    resources: [ "secrets" ]
    verbs: [ "get", "watch", "list" ]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: clusterrolebinding-liyuan
subjects:
  - kind: User
    name: liyuan
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: clusterrole-liyuan
  apiGroup: rbac.authorization.k8s.io

3. 参考

# cluster-admin clusterrole
kind: ClusterRole
metadata:
  annotations:
rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: "2023-12-12T13:19:37Z"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "77"
  uid: ba8010ec-8a5c-4881-b26b-37fed5dc5c67
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'

# apiGroups: 默认为 *
# resources 
kubectl api-resources
# verbs
"get", "list", "watch", "create", "update", "patch", "delete"]

参考

为 Pod 配置服务账号
k8s之基于用户/用户组授权

Yuan_xii
关注
  • 12
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
skywalking-kubernetes:Apache SkyWalking Kubernetes部署Helm Chart
02-03
总之,`skywalking-kubernetes` 项目为 Kubernetes 用户提供了通过 Helm 方便地部署和管理 SkyWalking 的途径,结合 Kubernetes 的服务发现和自动化运维能力,以及 SkyWalking 的强大监控和追踪功能,可以帮助用户更...
Oracle运维最佳实践-上
09-08
Oracle运维最佳实践-下.pdf 带书签 运维必备经验
kubernetes用户权限管理详解——普通用户[kubeconfig]
最新发布
weixin_42236288的博客
04-01 936
通过多种方式签发证书包括 k8s csr, openssl,cfssl的方式进行签发,由于创建k8s普通用户,从而实现管理k8s权限管理
深入理解 Kubernetes 中的用户与身份认证授权
云原生实验室
11-23 945
❝本文转自 Cylon 的博客,原文:https://www.cnblogs.com/Cylon/p/16905335.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang本章主要简单阐述 kubernetes 认证相关原理,最后以实验来阐述 kubernetes 用户系统的思路。主要内容:了解 kubernetes 各种认证机制的原理了解 kubernet...
Kubernetes详解(五十一)——Kubernetes用户创建
永远是少年
05-09 2743
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes证书生成 二、Kubernetes用户创建
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1394
梳理出UserAccount用户账号一条线
给普通用户自定义创建 Kubernetes 权限
愿许浪尽天涯的博客
06-12 1968
需求: 由于开发同事需要在 K8s 集群内查看 Pod 的应用日志,为了防止开发同事在集群内误操作,我们这里通过配置 UserAccount 的方式将开发同事的账号权限降低;以此来提升集群的安全性。
Oracle运维最佳实践-下
09-08
Oracle运维最佳实践-下.pdf 带书签 运维必备经验
python运维开发实战-高级篇
06-22
一、Python简介python是一种通用的面向对象的开发语言、比其他编程语言更简单、易学,易懂、非常适合快速开发,python在WEB开发、软件开发、大数据、自动化测试、自动化运维、全栈开发、云计算、大数据、人工智能、...
挑战 IT 运维最佳实践-软件开发全过程管理研讨问题
04-01
软件开发全过程管理研讨问题 挑战 IT 运维最佳实践
Kubernetes用户认证
李少侠
04-14 832
文章目录Kubernetes用户身份认证策略X509 客户证书静态令牌文件启动引导令牌Service Account令牌OIDC令牌Webhook 令牌身份认证身份认证代理 Kubernetes用户 Kubernetes 集群有两类用户:由 Kubernetes 管理的服务账号(Service Account)和普通用户Kubernetes 假定普通用户是由一个与集群无关的服务通过以下方式之一进行管理的: 负责分发私钥的管理员 类似 Keystone 或者 Google Accounts 这类用户数据
Kubernetes — 创建普通用户
李少侠
04-13 493
文章目录创建私钥创建CSR批准证书签名请求获取证书绑定角色添加到kubeconfig 创建私钥 openssl genrsa -out kevin.key 2048 openssl req -new -key kevin.key -out kevin.csr 创建CSR cat <<EOF | kubectl apply -f - apiVersion: certificates.k8s.io/v1beta1 kind: CertificateSigningRequest metadata:
Kubernetes用户指南(三)--在生产环境中使用Pod来工作、管理部署
weixin_30293079的博客
10-15 268
一、在生产环境中使用Pod来工作 本节将介绍一些在生产环境中运行应用非常有用的功能。 1、持久化存储 容器的文件系统只有当容器正常运行时有效,一旦容器奔溃或者重启,所有对文件系统的修改将会丢失,从一个原始的文件系统重新开始。 所以为了实现更多的持久化信息,在文件系统之外你需要一个volume,volume对有状态的应用来说是非常重要的,例如键值对存储和数据库...
kubernetes dashboard访问用户添加权限控制
yjh314的专栏
07-06 9440
前面我们在kubernetes dashboard 升级之路一文中成功的将Dashboard升级到最新版本了,增加了身份认证功能,之前为了方便增加了一个admin用户,然后授予了cluster-admin的角色绑定,而该角色绑定是系统内置的一个超级管理员权限,也就是用该用户的token登录Dashboard后会很强势,什么权限都有,想干嘛干嘛,这样的操作显然是非常危险的。接下来我们来为一个新的用户...
kubernetes 创建RBAC 用户的例子
纵横四海的博客
09-12 2804
创建Service Account vi demo-serviceaccount.yaml apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kube-system [root@master-47-35 service-account]# kubectl create -f de...
Kubernetes集群添加用户
CAICAI134的博客
03-15 392
Kubernetes中的用户 K8S中有两种用户(User)——服务账号(ServiceAccount)和普通意义上的用户(User) ServiceAccount是由K8S管理的,而User通常是在外部管理,K8S不存储用户列表——也就是说,添加/编辑/删除用户都是在外部进行,无需与K8S API交互,虽然K8S并不管理用户,但是在K8S接收API请求时,是可以认知到发出请求的用户的,实际上,所有对K8S的API请求都需要绑定身份信息(User或者ServiceAccount),这意味着,可以为User配
kubernetes用户授权
weixin_34401479的博客
02-22 548
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes Dashboard 设置用户密码登陆
weixin_33720956的博客
05-21 1604
Kubernetes Dashboard 设置用户密码登陆 标签(空格分隔): Kubernetes2019年05月20日 K8s 文档 K8s 1.13源码安装k8s dashboard token访问 仪表板是基于Web的Kubernetes用户界面。您可以使用仪表板将容器化应用程序部署到Kubernetes集群,对容器化应用程序进行故障排除,并管理集群本身及其伴随资源。您可以使用仪表板来概...
python 运维开发:基于 kubernetes restful api 实现 deployment 创建
09-02
Python 运维开发:基于 Kubernetes RESTful API 实现 Deployment 创建 Kubernetes是一个开源的容器编排平台,它提供了一种便捷的方式来部署、扩展和管理容器化应用。在运维开发中,我们经常需要使用Kubernetes的API来创建Deployment。 首先,我们需要使用Python中的requests库来与Kubernetes的API进行交互。我们可以使用`requests.get()`或`requests.post()`等方法来发送HTTP请求,对Kubernetes进行操作。 接下来,我们需要构造正确的API地址和API请求数据。Kubernetes的API地址是基于集群的,我们可以通过访问`https://api.example.com`来得到API根地址。然后我们需要通过构造不同的路径来进行不同的操作,比如创建Deployment、查看Deployment等。 对于创建Deployment,我们可以使用POST请求来发送Deployment的定义。我们可以定义Deployment的名称、容器镜像、副本数量等信息,然后将这些信息转换为JSON格式,作为请求的数据体,发送到`/apis/apps/v1/namespaces/{namespace}/deployments`路径。 示例代码如下: ```python import requests import json def create_deployment(namespace, name, image, replicas): api_url = "https://api.example.com" endpoint = f"{api_url}/apis/apps/v1/namespaces/{namespace}/deployments" headers = {"Content-Type": "application/json"} data = { "apiVersion": "apps/v1", "kind": "Deployment", "metadata": { "name": name }, "spec": { "replicas": replicas, "selector": { "matchLabels": { "app": name } }, "template": { "metadata": { "labels": { "app": name } }, "spec": { "containers": [ { "name": name, "image": image, "ports": [ { "containerPort": 80 } ] } ] } } } } response = requests.post(endpoint, headers=headers, json=data) if response.status_code == 201: print(f"Deployment {name} created successfully.") else: print(f"There was an error creating Deployment {name}: {response.json()}") # 调用示例 create_deployment("default", "my-deployment", "my-image:latest", 3) ``` 以上代码中,我们定义了一个名为`create_deployment`的函数,它接受Namespace名称、Deployment名称、容器镜像和副本数量作为参数。然后,我们使用这些参数构造出Deployment的定义,并发送POST请求,创建Deployment。 最后,我们可以根据返回的响应状态码来判断Deployment是否成功创建。如果返回状态码为201,表示创建成功,否则表示创建失败,并打印出相应的错误信息。 通过这种方法,我们可以使用Python来基于Kubernetes的RESTful API实现Deployment的创建。这样,我们就可以在运维开发中使用Python来自动化操作Kubernetes集群,提高部署效率和管理灵活性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值