RBAC 基于权限的访问控制 serviceaccount -- clusterRole clusterRoleBinding

已于 2022-09-19 21:03:00 修改
阅读量253 收藏
点赞数
分类专栏: k8s 文章标签: 运维
于 2022-09-19 19:29:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cike_liu/article/details/126940060
版权

创建一个可以访问所有 namespace 的ServiceAccount

如果我们现在创建一个新的 ServiceAccount,需要他操作的权限作用于所有的 namespace,这个时候我们就需要使用到 ClusterRole 和 ClusterRoleBinding 这两种资源对象了

1 创建serviceaccount 对象

=====sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: sa-test
namespace: test

2 然后创建一个 ClusterRoleBinding 对象

====crb.yaml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: crb-test
subjects:
- kind: ServiceAccount
name: sa-test
namespace: test
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: rbac.authorization.k8s.io

3=======pod.yaml

[root@master1 ~]# vim sa-pod.yml
apiVersion: v1
kind: Pod
metadata:
  name: nginx-test
  namespace: test
spec:
  containers:
  - name: c1
    image: nginx:1.15-alpine
    ports:
    - name: httpd
      containerPort: 80
  serviceAccountName: sa-test               # 指定sa为sa-test

----------------

从上面我们可以看到我们没有为这个资源对象声明 namespace,因为这是一个 ClusterRoleBinding 资源对象,是作用于整个集群的,我们也没有单独新建一个 ClusterRole 对象,而是使用的 cluster-admin 这个对象


K8S 安全认证机制(认证、授权(Role/ClusterRole/ClusterRole/ClusterRoleBinding)、准入控制)_途径日暮不赏丶的博客-CSDN博客

litart coder
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django-auth-rbac:尝试为Django实现基于角色的访问控制
05-17
django-auth-rbac 尝试为Django实现基于角色的访问控制(ANSI / INCITS 359-2004) 支持的RBAC功能: 核心RBAC 分级RBAC 静态职责分离(SSD) 基本概念 的角色 角色提供用户和权限之间的间接级别,通常代表作业功能。 一个角色还可以具有多个子角色,从而允许复杂的角色层次结构。 子角色的权限由父角色继承。 权限 根据RBAC标准,许可是对对象的操作。 在django-auth-rbac中,对象是模型,这意味着权限是对模型的操作。 操作可以用字符串表示,例如“ change”或“ delete”。 实际的权限是一个对象,它通过Django的contenttype框架和操作名称存储模型信息。 届会 每当用户登录时,都会启动RBAC会话。在此会话中,用户可以选择他要激活的角色。 默认情况下,所有用户角色均被激活。 可以通过设置RBAC
word源码java-rbac-security:基于角色的权限访问控制(Role-BasedAccessControl)
06-05
word源码java rbac-security 这是一个基于简单的RBAC模型,结合Spring Security开发的权限管理模块。 一、RBAC模型介绍 RBAC是Role-Based Access Control的缩写,意思就是基于角色的权限访问控制。 基本思想: 对系统的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。 同样用户被分配了多个适当的角色,那么该用户就拥有了被分配多个角色的所有权限。 优点: 不必在每次创建用户时都进行分配权限的操作,只要分配用户相应的角色即可,而且角色的权限变更比用户的权限变更要少得多,这样将简化用户的权限管理,减少系统的开销。 该系统的RBAC模型—— 二、项目思想 本项目将对用户、角色、权限三者之间的关联状态概念交给系统管理员与数据库,对外依然具有RBAC的概念。但是在项目的权限管理中,项目只维护用户与权限的关系。 当用户登录成功后立即在数据库查询该用户所具有的角色,再根据所拥有的角色查询对应的权限——然后将这些权限赋予
用于基于 RBAC权限认证-yii2-behavior-rbac.zip
01-29
用于基于 RBAC权限认证-yii2-behavior-rbac
Kubernetes - 实战:一文详解ServiceAccountRBAC权限控制
最新发布
qq_33240556的博客
04-20 466
在 Kubernetes 中,ServiceAccountRBAC(Role-Based Access Control)是用于控制集群内资源访问权限的重要组成部分。
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制RBAC)模型的中小型应用开发平台,采用前后端分离架构。后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过uniapp和uView框架,能够灵活发布H5和微信小程序。 技术构成: - 主要编程语言:Python - 前端技术栈:Vue.js、JavaScript、HTML、CSS(SCSS) - 文件构成:共546个文件,具体分布如下: - Vue文件:254个 - JavaScript文件:108个 - Python文件:57个 - SVG图像文件:47个 - PNG图片文件:18个 - SCSS样式文件:17个 - JSON配置文件:7个 - Markdown文档:6个 - Git忽略配置:5个 - YAML配置文件:3个 该平台为开发人员提供了一个具有完善权限控制的后台管理系统,支持快速开发具有复杂权限需求的中后台应用。
基于RBAC权限控制模型的后台管理系统
01-20
系统概述:   该项目主要展示 RBAC权限控制效果,并提供员工管理模块以供测试。用户登录系统后,根据用户所关联的角色,查询角色拥有的权限,如:菜单权限、按钮权限。不同角色的用户,所显示的菜单可能也不尽相同。 系统亮点: ① 系统除采用 RBAC 模型进行访问控制以外,还配合 Shiro 框架完成系统的鉴权机制,其中 RBAC 负责左侧菜单级别权限, Shiro 负责按钮级别权限。 ② 系统对于添加修改相关操作采用 Validator 完成表单参数的校验,还会对于取值唯一的数据段进行业务校验,完善业务流程。 ③ 系统应用 Hutool 工具类,配合完成数据的批量导出与导入工作。 ④ 系统使用 Lombok 框架,以简化实体对象中常用方法的构建。 ⑤ 系统设置自定义业务异常类 ,配合业务消息枚举类和业务结果包装类 ,利用全局异常处理器处理, 使业务异常的不友好界面不会展示到客户端,以此提高用户的交互体验。 技术选型: Layui、SSM、MySQL、Druid、Maven
k8s权限配置(ServiceAccount、Role、ClusterRole
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
K8s中ServiceAccount、Role、RoleBinding、ClusterRoleClusterRoleBinding之间的关系
小末的博客
12-11 4347
ClusterRole & ClusterRoleBinding
喝醉酒的小白
01-31 264
当客户端发起API Server调用时,API Server内部要先进行用户认证,然后执行用户授权流程,即通过授权策略来决定一个API调用是否合法。对合法用户进行授权并且随后在用户访问时进行鉴权,是权限与安全系统的重要一环。简单地说,授权就是授予不同的用户不同的访问权限
k8s:UserAccount、ServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 833
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 2780
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
Kubernetes(K8s)_10_认证机制
爱喝可乐的w
02-22 1415
Kubernetes(K8s)保证安全的认证机制/插件
Kubernetes 安全权限管理深度剖析
liuzhen007的专栏
04-15 1386
Kubernetes 作为当下应用最普遍的容器集群管理工具,详细了解它的认证鉴权机制是非常有必要的。本文的主要内容就是增进大家对k8s的认证和鉴权模块的了解,其中包括kubernetes准入控制RBAC的集群认证与鉴权机制。
带你玩转kubernetes-k8s(第39篇:深入分析集群安全机制二[RBAC授权模式])
坚持的道路注定孤独
08-12 497
RBAC授权模式详解 RBAC(Role-Based Access Control,基于角色的访问控制)在Kubernetes的1.5版本中引入,在1.6版本时升级为Beta版本,在1.8版本时升级为GA。作为Kubeadm安装方式的默认选项,足见其重要程度。相对于其他访问控制方式,新的RBAC具有如下优势。 对集群中的资源和非资源权限均有完整的覆盖。 整个RBAC完全由几个AP...
k8s资源之role&rolebinding&clusterrole&clusterrolebinding
mark's technic world
12-31 8938
发布一个k8s部署视频:https://edu.csdn.net/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 第二个视频发布https://edu.csdn.net/course/detail/27109 介绍主要...
kubernetes集群配置serviceaccount;Service Account和RBAC授权
码农崛起
04-17 1836
https://blog.51cto.com/ylw6006/2067326 Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。 Kubernetes提供了Secret来处理敏感信息,目前Secret的类型有3种: Opaque(default): 任意字符串...
k8sRBAC角色访问控制serviceaccount
weixin_44946147的博客
06-22 496
k8sRBAC角色访问控制serviceaccount
service,Role,ClusterRole,RoleBinding,ClusterRoleBinding
qq_39833857的博客
08-19 924
Service的基础概念 在kubernetes中,pod是应用程序的载体,我们可以通过pod的ip来访问应用程序,但是pod的ip地址不是固定的,这也就意味着不方便直接采用pod的ip对服务进行访问。 Service会对提供同一个服务的多个pod进行聚合,并且提供一个统一的入口地址。通过访问Service的入口地址就能访问到后面的pod服务。 Service在很多情况下只是一个概念,真正起作用的其实是kube-proxy服务进程,每个Node节点上都运行着一个kube-proxy服务进程。当创建Serv
k8s里RBACServiceAccount Clusterrolebinding Clusterrole有什么区别
07-17
总结来说,RBAC是Kubernetes中的访问控制机制,ServiceAccount是用于身份验证和授权的账户,ClusterRoleBinding用于将ClusterRole与身份进行绑定,赋予集群级别的权限,而ClusterRole是定义权限规则的资源对象。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值