Kubernetes 之RBAC基于角色的访问控制

最新推荐文章于 2023-01-03 19:02:05 发布
最新推荐文章于 2023-01-03 19:02:05 发布
阅读量921 收藏
点赞数
文章标签: kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/as_dingjia/article/details/121692074
版权

RBAC基于角色的访问控制--全拼Role-Based Access Control


创建k8s账号与RBAC授权使用
1、创建私钥
(umask 077; openssl genrsa -out soso.key 2048)
用此私钥创建一个csr(证书签名请求)文件
openssl  req -new -key soso.key -out soso.csr -subj  "/CN=soso"
拿着私钥和请求文件生成证书
openssl x509 -req -in soso.csr -CA  /opt/kubernetes/ssl/ca.pem  -CAkey /opt/kubernetes/ssl/ca-key.pem -CAcreateserial -out soso.crt -days 365

2、查看证书内容
openssl  x509 -in soso.crt -text -noout
生成账号
kubectl config set-credentials soso --client-certificate=soso.crt --client-key=soso.key --embed-certs=true

3、设置上下文环境--指的是这个账号只能在这个环境中才能用
kubectl config set-context soso@kubernetes --cluster=kubernetes --user=soso

查看当前的工作上下文
kubectl config view

4、切换用户(切换上下文)
kubectl  config use-context soso@kubernetes
验证是否已经切换到了新的上下文
kubectl config current-context
5.测试(还未赋予权限)
kubectl  get pod
Error from server (Forbidden): pods is forbidden: User "soso" cannot list resource "pods" in API group "" in the namespace "default"

创建一个角色(role)---权限
1.先切回管理帐号
kubectl config use-context kubernetes-admin@kubernetes
kubectl config use-context default@kubernetes

创建角色:
kubectl  create role  sosorole --verb=get,list,watch --resource=pod,svc

2.绑定用户soso(上面创建的用户),绑定role为sosorole
kubectl  create  rolebinding sosorole-binding  --role=sosorole  --user=soso

3.切换用户
kubectl  config use-context soso@kubernetes

6.删除soso账号之前绑定的rolebinding
kubectl delete rolebinding sosorole-binding

7.创建clusterrole #可以访问全部的namespace

kubectl create clusterrole sosoclusterrole --verb=get,list,watch --resource=pod,svc

8.绑定集群角色到用户soso
kubectl  create clusterrolebinding soso-rolebinding   --clusterrole=sosoclusterrole --user=soso


kubectl config set-cluster kubernetes \
  --certificate-authority=/opt/kubernetes/ssl/ca.pem \
  --embed-certs=true \
  --server=https://10.115.92.43:6443 \
  --kubeconfig=soso.kubeconfig
  
#设置客户端认证
kubectl config set-credentials soso \
  --client-key=soso.key \
  --client-certificate=soso.crt \
  --embed-certs=true \
  --kubeconfig=soso.kubeconfig
 
#设置默认上下文
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=soso \
  --kubeconfig=soso.kubeconfig
  
#设置当前使用配置 
kubectl config use-context kubernetes --kubeconfig=soso.kubeconfig

鞍山陆家嘴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
获取Kubernetes审核日志,其中包含您希望用户执行的所有API请求: 日志必须为JSON格式。 这要求运行定义了--audit-policy-file的API服务器。 有关更多详细信息,请参见。 audit.k8s.io/v1 audit.k8s.io/v1beta1和...
Pod异常状态排错
qq_31055683的博客
09-21 4198
有时候服务部署成功运行过,但在某个时候节点突然挂了,此时就会触发驱逐,创建新的副本调度到其 它节点上,对于已经挂载了磁盘的 Pod,它通常需要被调度到跟当前节点和磁盘在同一个可用区,如果 集群中同一个可用区的节点不满足调度条件,即使其它可用区节点各种条件都满足,但不跟当前节点在 同一个可用区,也是不会调度的。太短,容器启动慢,导致容器还没完全启动就开始探测,如果 successThreshold 是默认值 1,检查失败一次就会被 kill,然后 pod 一直这样被 kill 重 启。
Pod 常见错误及其故障排查思路
潇潇雨歇
04-27 3449
文章目录一、pod的几种状态:1.1常用的排障命令:二、常见故障归类Pod状态 一直处于 Pending2.1故障原因分析:2.1.1Pod --Pending状态2.1.2 Pod --Waiting 或 ContainerCreating状态2.1.3Pod ImagePullBackOff状态2.1.4Pod CrashLoopBackOff状态2.1.5Pod --Error 状态2.1.6Pod --Terminating 或 Unknown 状态2.1.7 Pod Evicted状态
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 2825
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
k8s笔记八(kubernetes中认证、授权、准入控制)
dayi_123的博客
05-24 1万+
1、k8s中的访问控制 API server作为kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,而其他所有的组件及kubectl命令都要经由此网关进行集群的访问和管理。而各组件及客户端每一次的访问请求都要有api server进行合法性校验,包括身份鉴别、操作权限验证等。所有的检查通过之后才能访问或存入数据于后端的etcd中。客户端的认证操作是由api ser...
K8S集群中Pod资源处于Error状态排查思路
江晓龙的博客
06-30 4204
Error状态是CrashLoopBackOff状态之前的一个错误状态,Pod资源处于Error状态的原因可能有以下几种:1)排查Pod的状态 2)查看Pod运行的详细日志从中获取线索 3)排查容器运行的日志获取关键信息 4)排查Kubelet日志以及Node节点系统日志从中获取关键信息......
26 _ 基于角色的权限控制:RBAC1
08-04
Kubernetes中,基于角色的权限控制(Role-Based Access Control, RBAC)是一种关键的安全机制,用于管理和控制用户或服务对集群资源的访问权限。RBAC允许管理员精细地定义哪些用户、用户组或服务账户可以执行什么...
访问管理器:Kubernetes-Operator简化RBAC配置
02-07
在基于名称空间的基础上管理许多不同的RBAC-Roles时,出现了这个想法。 随着时间的推移,这变得越来越复杂,管理员始终必须确保将正确的角色应用于多个名称空间中的不同人员或ServiceAccounts。 操作员的范围仅限于...
kubernetes访问控制与服务网格istio
最新发布
04-19
Kubernetes采用基于角色访问控制(Role-Based Access Control,简称RBAC)来实现这一目标。RBAC允许管理员定义角色(Role)和集群角色(ClusterRole),这些角色定义了一组权限,可以被绑定到特定的用户或者用户组...
26丨基于角色的权限控制:RBAC.pdf
08-22
Kubernetes 项目中,基于角色的权限控制(Role-Based Access Control,简称 RBAC)是一种非常重要的授权机制。它负责完成授权工作,确保 Kubernetes 中的 API 对象的访问安全。RBAC 的核心概念包括 Role、Subject...
如何切换用户管理kubernetes集群
m0_63190689的博客
01-03 583
关于kuberntes 切换用户管理的相关信息 欢迎一起探讨学习
KubernetesRBAC权限控制
qq_41619571的博客
10-16 758
1. 在Kubernetes中,负责完成授权(Authorization)工作的机制,就是RBAC:基于角色访问控制(Role-Based Access Control)2. “主体”(subject)能够或不能够“操作”(operate)哪个或哪类“对象”(object)。动作的发出者是subject,通常是(User Account),也可以是(Service Account)。“操作”(operate)用于表明执行的具体操作,
Kubernetes中的角色访问控制机制(RBAC)支持
Kubernetes中文社区
05-25 7447
原标题: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支持 PS:在Kubernetes1.6版本中新增角色访问控制机制(Role-Based AccessRBAC)让集群管理员可以针对特定使用者或服务账号的角色,进行更精确的资源访问控制。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简
k8s——Kubernetes-RBAC基于角色访问控制
weixin_55985097的博客
07-27 861
kubernetes-RBAC 一:RBAC详解 RBAC基于角色访问控制 Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权,在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版起,Kubernetes 默认启用RBAC访问控制策略。 从1.8开始,RBAC
11-RBAC基于角色的权限控制
热门推荐
在此立一个IT职业上的flag:https://github.com/Zeb-D/my-review
07-15 1万+
[toc] 控制器模式看起来好像也不难嘛,我能不能自己写一个编排对象呢? 答案当然是可以的。而且,这才是 Kubernetes 项目最具吸引力的地方。 在互联网级别的大规模集群里,Kubernetes 内置的编排对象,很难做到完全满足所有需求。所以,很多实际的容器化工作,都会要求你设计一个自己的编排对象,实现自己的控制器模式。 而在 Kubernetes 项目里,我们可以基于插件机制来完成这些工...
kubernetes RBAC认证简介
纵横四海的博客
04-22 1457
概述 RBAC是Role-Based Access Control的简称,中文为基于角色访问控制 RBAC使用“rbac.authorization.k8s.io”API组来驱动授权决策,允许管理员通过Kubernetes API动态配置策略。 从1.8开始,RBAC模式处于稳定版本,并由rbac.authorization.k8s.io/v1 API提供支持。 要启用RBAC,请使用-...
k8s之RBAC 详解(基于角色访问控制)
qfyangsheng的博客
08-19 1586
一个实验搞定RBAC RBAC基于角色访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
Kubernetes RBAC Authorization(基于角色访问控制
山不转的博客
07-12 4882
基于角色访问控制(RBAC),是一种其于用户的角色控制其对资源访问的方法。RBAC利用rbac.authorization.k8s.io API组实现授权决策,允许管理通过kubernetes API动态配置策略。在kubernetes 1.8版本中RBAC成为稳定特性,由rbac.authorization.k8s.io/v1 API在后端实现。通过为apiserver指定--authoriz...
容器编排技术 -- Kubernetes kubectl create role 命令详解
YunWisdom
08-27 753
容器编排技术 -- Kubernetes kubectl create role 命令详解 1kubectl create role 2语法 3示例 4Flags kubectl create role 使用单一规则创建Role。 语法 $ role NAME --verb=verb --resource=resource.group/subresource [--r...
Kubernetes RBAC与Istio服务网格:访问控制详解
本文主要聚焦于基于角色访问控制(RBAC)和如何在Kubernetes中实现服务网格 Istio 的集成。 首先,Kubernetes的安全性模块包括认证、授权和准入控制,这些功能旨在管理用户、服务账户和集群内对象的访问权限。默认...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值