RBAC

最新推荐文章于 2024-06-07 11:19:48 发布
最新推荐文章于 2024-06-07 11:19:48 发布
阅读量133 收藏
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_28367801/article/details/106686152
版权 
#基于SSL/TLS认证的自定义用户账号,授予非管理员级别的集群使用权限--创建用户凭证
#1.创建自定义用户--生成私钥
[root@master ~]#cd  /etc/kubernetes/pki
[root@master pki]# useradd rbac
[root@master pki]# (umask 066;openssl genrsa -out rabc.key 2048)
#2.创建证书签署请求---绑定
[root@master pki]# openssl req -new -key rbac.key -out rbac.csr -subj "/CN=rbac/O=system:master"
#3.生成证书
[root@master pki]# openssl x509 -req -in rbac.csr  -CA ca.crt -CAkey ./ca.key -CAcreateserial -out rbac.crt -days 3650
Signature ok
subject=/CN=rbac/O=system:master
Getting CA Private Key
#4.验证证书信息
[root@master pki]# openssl x509 -in rbac.crt -text -noout
#5.给rbac用户kube-config配置文件
#配置集群信息
[root@master pki]# kubectl  config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt  --server=https://192.168.100.2:6443
Cluster "kubernetes" set.
#配置客户端证书信息
[root@master pki]# kubectl config set-credentials rbac --embed-certs=true --client-certificate=/etc/kubernetes/pki/rbac.crt  --client-key=/etc/kubernetes/pki/rbac.key 
User "rbac" set.
#配置context
[root@master pki]# kubectl config set-context rbac@kubernetes --cluster=kubernetes --user=rbac
Context "rbac@kubernetes" created.
#指定要使用的上下文
[root@master pki]# kubectl config use-context rbac@kubernetes 
Switched to context "rbac@kubernetes".
#没有授权资源的准入控制,即哪些资源如何操作
[root@master pki]# kubectl get pods
Error from server (Forbidden): pods is forbidden: User "rbac" cannot list resource "pods" in API group "" in the namespace "default"
#给rbac用户授权---创建rolebinding/role
[root@master pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".
[root@master pki]# kubectl create role rbac-read-pods --verb="*" --resource="deploy,pods" -n myspace
role.rbac.authorization.k8s.io/rbac-read-pods created
[root@master pki]# kubectl create rolebinding rbac-read-pods --role=rbac-read-pods --user=rbac -n myspace
rolebinding.rbac.authorization.k8s.io/rbac-read-pods created
[root@master pki]# kubectl config use-context rbac@kubernetes
Switched to context "rbac@kubernetes".
[root@master pki]# kubectl get pods,deploy -n myspace
NAME                          READY   STATUS    RESTARTS   AGE
pod/cirros-7cc8675d67-sr5mk   1/1     Running   0          19h
pod/docker-registry           1/1     Running   0          19h
pod/pod-ssl                   1/1     Running   0          20h
NAME                           READY   UP-TO-DATE   AVAILABLE   AGE
deployment.extensions/cirros   1/1     1            1           19h
#rolebinding不可以跨名称空间引用role资源,但主体中的用户账号,用户组,和服务账号却不受名称空间的限制,管理员可以为同一个主体账号,通过不同的rolebinding资源绑定多个名称空间中的角色, 主体类型:User/Group/Service Account
#创建管理员的方法:
 - 将账号和cluster-admin进行绑定
 - 在创建证书的过程中将其加入到system:masters组 -subject "/CN=user_name /O=system:masters"
#创建角色--user--只能访问一个名称空间下的资源
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: cnych-role
  namespace: kube-system
rules:
 - apiGroups: ["", "apps"] #“”:代表核心群组
   resources: ["deployments", "replicasets", "pods"]
   verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 也可以使用['*']
 - apiGroups:指定请求资源的所属群组,通过kubeect expalin查询 
 - resources:指定要请求的资源类型pod.node,log,service等
 - verbs:指定对请求资源的操作权限
#创建角色权限绑定
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: cnych-rolebinding
  namespace: kube-system
subjects:
 - kind: User
   name: cnych
   apiGroup: ""
roleRef:
  kind: Role
  name: cnych-role
  apiGroup: rbac.authorization.k8s.io  # 留空字符串也可以,则使用当前的apiGroup
- rolebonding:将用户和规则进行绑定,从而完成对用户的授权
- kubectl get pods --context=cnych-context 临时使用上下文
#只能访问某个namespace的ServiceAccount
$ kubectl create sa cnych-sa -n kube-system
#创建role
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: cnych-sa-role
  namespace: kube-system
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
- apiGroups: ["apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
 #创建rolebinding
 kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: cnych-sa-rolebinding
  namespace: kube-system
subjects:
 - kind: ServiceAccount
   name: cnych-sa
   namespace: kube-system
roleRef:
  kind: Role
  name: cnych-sa-role
  apiGroup: rbac.authorization.k8s.io
 #可以访问集群的serviceaccount
 apiVersion: v1
kind: ServiceAccount
metadata:
  name: cnych-sa2
  namespace: kube-system
 #创建clusterrolebinding
 kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: cnych-sa2-clusterrolebinding
subjects:
- kind: ServiceAccount
  name: cnych-sa2
  namespace: kube-system
roleRef:
  kind: ClusterRole           
  name: cluster-admin             #绑定集群管理员
  apiGroup: rbac.authorization.k8s.io
xue__hen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RBAC详解
alfred____的博客
04-29 170
权限设置 1. 权限点 权限: 在一个系统内是否具有做某个操作的权利 权限分成两个级别: 菜单权限: 是否有权限访问某个菜单 按钮权限: 是否有权限操作页面上的某个按钮功能 2. 业务逻辑 对于权限数据来说, 有两个级别的设置 能不能访问某个页面 在页面上,能不能操作某个按钮 3. RBAC权限设计思想(Role-Based Access control) 目标: 不同账号登录系统后看到不同的页面, 能执行不同的功能 权限模式 三个关键点: 用户: 使
RBAC 2.0
shin2130的博客
08-26 168
链接:https://pan.baidu.com/s/1vhSbfrmO1Q79loT7MVkFbg 提取码:6666 复制这段内容后打开百度网盘手机App,操作更方便哦
RBAC——基于角色权限的模型
热门推荐
林隐的博客
10-21 2万+
学习RBAC——基于角色权限的模型
RBAC权限详解
xm1037782843的博客
07-30 8506
RBAC权限详解
RBAC 模型梳理
最新发布
cliffordl的专栏
06-07 1255
权限是资源的集合,这里的资源指的是软件中所有的内容,包括模块、菜单、页面、字段、操作功能(增删改查)等等。页面权限操作权限和数据权限。
RBAC权限管理
haoa0320的博客
02-24 1万+
RBAC权限管理
RBAC权限管理,Shiro实践
qq_41617901的博客
06-11 2814
RBAC中,每个角色都被授予一组权限,而用户则被分配到一个或多个角色。用户可以访问与他们相关的角色所授予的权限。这种机制使得管理和授权变得更加容易,因为只需要将用户分配到角色,而不需要为每个用户单独指定其访问权限。RBAC通过将用户分配到不同的角色,来控制用户对系统中资源的访问权限。RBAC还可以减少错误和安全漏洞的可能性,因为访问控制是由系统管理员预先配置好的,并且与用户的身份无关。此外,RBAC还支持审计和监控,以便对用户的访问行为进行跟踪和检查。
python rbac
04-25
**Python RBAC(Role-Based Access Control)框架** Python RBAC是一种基于角色的访问控制框架,它允许系统管理员根据用户的角色分配权限,而不是直接为每个用户分配权限。这种设计模式简化了权限管理,使得在大型...
rbac
03-08
**角色权限控制(Role-Based Access Control,RBAC)** 在信息技术领域,RBAC是一种广泛采用的访问控制模型,尤其在Web应用和企业级系统中。它通过将用户与角色关联,角色与权限关联来实现权限的管理和分配。RBAC的...
RBAC 权限练习
08-29
RBAC,即Role-Based Access Control(基于角色的访问控制),是一种广泛采用的权限模型,它通过定义不同角色及其对应的权限来实现用户对资源的访问控制。本练习将深入探讨RBAC模型的基本原理、设计与实现,帮助你更...
Flask框架实现的RBAC权限管理系统源码
03-25
项目概述:本项目管理系统基于流行的Python Flask框架,实现了一套完整的RBAC(基于角色的访问控制)权限管理功能。项目采用多种编程语言和技术栈,确保了前端的丰富交互和后端的高效稳定。 技术组成: - 主要编程...
RBAC权限控制代码
11-23
在IT行业中,权限控制是系统安全的关键组成部分,而Role-Based Access Control(RBAC)是一种广泛采用的权限模型。本文将深入探讨"RBAC权限控制代码"的相关知识点,以及如何通过监听器、过滤器和拦截器实现这一机制...
springboot-rbac.zip
07-11
SpringBoot-RBCA是一个基于SpringBoot框架开发的权限管理系统,主要展示了如何利用RBAC(Role-Based Access Control,基于角色的访问控制)模型实现细粒度的权限管理。在这个项目中,我们将深入探讨SpringBoot的核心...
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制(RBAC)模型的中小型应用开发平台,采用前后端分离架构。后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过...
RBAC概念
Aan___的博客
01-03 1857
RBAC(基于角色的权限控制)模型的核心是在用户和权限之间引入了角色的概念。取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限(如下图),从而达到用户和权限解耦的目的。
什么是 RBAC 权限控制
mc_ChenF_B的博客
06-23 1231
RBAC是Role Based Access Control的英文缩写,意思是RBAC实际上就是针对产品去挖掘需求时所用到的Who(角色)、What(拥有什么资源)、How(有哪些操作)的方式。在RBAC模型中,who、what、how构成了三元组,也就是“Who对What进行How的操作。RBAC的优缺点。
RBAC简介(*)
weixin_42408447的博客
11-05 7800
一.RBAC是什么 1.RBAC模型概述 RBAC是Role Based Access Control的英文缩写,意思是基于角色访问控制。 RBAC实际上就是针对产品去发掘需求时所用到的Who(角色)、What(拥有什么资源)、How(有哪些操作)的方式。 在RBAC模型中,who、what、how构成了访问权限三元组,也就是“Who对What进行How的操作。 RBAC主要包含四个子模型:RBAC0、RBAC1、RBAC2和RBAC3,整体又叫做RBAC96。 RBAC0 RBAC0是RBAC96模型家

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值