k8s——鉴权(Authorization)

最新推荐文章于 2024-08-04 19:50:06 发布
最新推荐文章于 2024-08-04 19:50:06 发布
阅读量610 收藏
点赞数
分类专栏: K8S 文章标签: kubernetes java 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/benziwu/article/details/128456596
版权

Authorization

上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “–authorization-mode” 设置)

  • AlwaysDeny:表示拒绝所有的请求,一般用于测试
  • AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略
  • ABAC(Attribute-Based Access Control):基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制
  • Webbook:通过调用外部 REST 服务对用户进行授权
  • RBAC(Role-Based Access Control):基于角色的访问控制,现行默认规则

RBAC 授权模式

RBAC(Role-Based Access Control)基于角色的访问控制,在 Kubernetes 1.5 中引入,现行版本成为默认标准。相对其它访问控制方式,拥有以下优势:

  • 对集群中的资源和非资源均拥有完整的覆盖
  • 整个 RBAC 完全由几个 API 对象完成,同其它 API 对象一样,可以用 kubectl 或 API 进行操作
  • 可以在运行时进行调整,无需重启 API Server

① RBAC 的 API 资源对象说明

RBAC 引入了 4 个新的顶级资源对象:Role、ClusterRole、RoleBinding、ClusterRoleBinding,4 种对象类型均可以通过 kubectl 与 API 操作

在这里插入图片描述
需要注意的是 Kubenetes 并不会提供用户管理,那么 User、Group、ServiceAccount 指定的用户又是从哪里来的呢? Kubenetes 组件(kubectl、kube-proxy)或是其他自定义的用户在向 CA 申请证书时,需要提供一个证书请求文件

{
   
"CN": "admin",  #认证请求证书时,国家就是用户
"hosts": [],
"key": {
   
"algo": "rsa",
"size": 2048
},
"names": [
{
   
"C": "CN",
"ST": "HangZhou",   
"L": "XS",
"O": "system:masters",
"OU":
最低0.47元/天 解锁文章
benziwu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S——认证(Authentication)
benziwu的博客
12-27 323
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了、、三步来保证API Server的安全在这里插入图片描述 HTTP Token 认证:通过一个 Token 来识别合法用户 HTTP Base 认证:通过 用户名+密码 的方式认证 最严格的 HTTPS 证书认证:基于 CA
k8s——安全机制
sea_bunch的博客
06-07 1281
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
Kubernetes K8S鉴权RBAC详解
踏歌行的专栏
12-06 1821
Kubernetes K8S鉴权概述与RBAC详解
K8S——安全机制
rmh0713的博客
06-05 720
默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。
k8s——Kubernetes-RBAC基于角色的访问控制
weixin_55985097的博客
07-27 861
kubernetes-RBAC 一:RBAC详解 RBAC基于角色的访问控制 Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权,在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版起,Kubernetes 默认启用RBAC访问控制策略。 从1.8开始,RBAC
k8s入门到实战(十三)—— 认证与鉴权
一弓虽的博客
03-27 1517
k8s从入门到实战篇章(第十三篇)—— 详细介绍k8s中认证与鉴权
K8s随笔
fourierr的博客
10-22 1638
1、CRD.yaml编写: CRD的type:integer类型--reconcile的int类型,CRD的format:float64 type:number类型--reconcile的float64类型
linux认证加k8s认证,kubernetes——安全认证
weixin_33785291的博客
05-16 156
机制说明kubernetes作为一个分布式集群的管理工具,保证集群的安全性是一个重要的任务。API server是集群内部各个组件通信的中介,也是外部控制的入口。所以kubernetes的安全机制基本就是围绕保护API server来设计的。kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(AdmissionControl)三步来保证AP...
k8s总结】
qq_38595432的博客
10-17 1177
在计算机中,虚拟化(英语:Virtualization)是一种资源管理技术,是将计算机的各种实体资源,如服务器、网络、内存及存储等,予以抽象、转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚拟部份是不受现有资源的架设方式,地域或物理组态所限制。一般所指的虚拟化资源包括计算能力和资料存储。虚拟化技术是一套解决方案。完整的情况需要CPU、主板芯片组、BIOS和软件的支持,例如VMM软件或者某些操作系统本身。
k8s中部署prometheus的镜像
03-23
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus rules: - apiGroups: [""] resources: ["services", "pods", "endpoints", "nodes"] verbs: ["get", "list", "watch"]...
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S)集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限...
K8S之 metrics-server 组件
06-17
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: metrics-server roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: system:aggregated-metrics-...
k8s部署prometheus+grafana监控.pdf
12-23
apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRole metadata: name: prometheus rules: - apiGroups: [""] resources: - nodes - nodes/proxy - services - endpoints - pods verbs: ["get...
k8s 依赖的golang pkg包
11-17
4. **认证和授权**:Kubernetes的安全性依赖于`crypto/tls`进行加密通信,`k8s.io/apiserver/pkg/authentication`和`k8s.io/apiserver/pkg/authorization`提供了用户认证和权限控制的接口和实现。 5. **调度和调度...
K8S】为什么需要Kubernetes
最新发布
黄小黄的博客
08-04 724
Kubernetes是 一个开源的,用于管理云平台中多个主机上的容器化应用,Kubernetes提供了应用部署,规划,更新,维护的一种机制,其目标是为了让部署容器化的应用简单、高效~那么,为啥需要Kubern这还需要从应用的部署方式说起~
k8s使用kustomize来部署应用
HELLOWORLD2424的博客
08-04 139
这是一个标准的kustomize项目的目录结构,base存放这deployment和service相关,overlay存放着不同环境定制化的一下信息,这里只有一个dev的环境。我们逐一看看每个文件里面的内容吧。输出合成后的结果,重点关注replica和image,已经换成我们在overlay/dev下面定制的参数。本文主要是讲述kustomzie的基本用法。首先,我们说一下部署文件的目录结构。
k8s中yaml文件的编写
2402_83805984的博客
08-04 662
方法1:根据现有资源导出yaml文件修改配置,重新创建只保留常用配置,删除多余的,配置,进行修改创建即可方法2:根据现有资源,进入其配置中,复制模板,再进行创建即可复制其中的配置,获取模板方法3:通过--dry-run选项模拟运行创建资源的命令获取kubectl create|run|expose -n <命名空间> <资源类型> <资源名称> [参数选项] --dry-run=client -o yaml > XXX.yaml。
K8S Docker搭建RocketMQ Dledger高可用集群
AllenChan_的博客
08-04 520
讲解RocketMQ最流行的3种集群部署模式以及它们之间的差异。带你用3台小机器结合K8S和Docker搭建一个高可用具备failover能力的生产集群。实现TPS 6000和百万消息收发的RocketMQ集群。
k8s怎么安装dns
03-08
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: kube-dns roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: system:coredns subjects: - kind: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值