kubernetes 中的权限管理

最新推荐文章于 2024-04-23 11:54:20 发布
最新推荐文章于 2024-04-23 11:54:20 发布
阅读量648 收藏 1
点赞数 1
原文链接:https://yq.aliyun.com/articles/680099
版权

Kubernetes 发展好快,在我写这篇总结的同时,1.9.0 版本已经在昨日(2017.12.16)正式发布,而上次在正式环境中部署已经是半年前了,我花了点时间将集群升级到了 1.8.4 版本,其中变化最明显的就是权限了,已经可以用上 RBAC 了,而我也在发现报错的时候才意识到需要将以前 k8s 的基础应用也全部加上了权限(当然了,1.6 其实就开始有了)。

目前,k8s 中一共有 4 种权限模式:

  • Node: 一种特殊目的的授权模式,主要用来让 kubelets  遵从 node 的编排规则,实际上是 RBAC 的一部分,相当于只定义了 node 这个角色以及它的权限;
  • ABAC: Attribute-based access control;
  • RBAC: Role-based access control;
  • Webhook: 以 HTTP Callback 的方式,利用外部授权接口来进行权限控制;

对于大部分人来说,RBAC 就能起到很好的权限控制效果了(k8s 的 RBAC 实现是一个非常优秀的样例,详细研究下它的设计将对你未来对于其它系统的权限设计会有很好的启发作用,比如你们公司管理后台权限设计)。下面将详细介绍下。

基础

样例
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 namespace: default
 name: example
rules:
- apiGroups: [""] #"" 说明是 core API group
 resources: ["pods"] # 可用来操作的对象
 verbs: # 可以进行的操作
 - get
 - list
 - create
 - update
 - patch
 - watch
 - proxy
 - redirect
 - delete
 - deletecollection
Role & ClusterRole

两种角色,很好区分,role 限定于单个 namespace,而 ClusterRole 则是没有这个限制的,主要是用来给一些基础服务用的。

RoleBinding & ClusterRoleBinding

这个就相当于具体的权限授权列表了,所有的 Role 会与具体的 ServiceAccount、User 以及 Group 等绑定,而他们的区别就是分别对应 Role & ClusterRole。

Aggregated ClusterRoles

这是 1.9 引入的新功能,简而言之,你可以利用标签来组合一些列的 ClusterRoles,具体样例如下:

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: monitoring
aggregationRule:
 clusterRoleSelectors:
 - matchLabels:
 rbac.example.com/aggregate-to-monitoring: "true"
# 所有带有 rbac.example.com/aggregate-to-monitoring: "true" 这个标签的都会被组合
# 然后自动生成 rules
rules: []

实践:生成用户账户

在官方文档中,也没有介绍应该如何生成具体的 User 账户(在 设计文档 中,提到过 userAccount,但目前还没有实现),但其实生成账户很简单,因为 User 账户是根据 SSL 证书生成的,你只要根据 k8s 的 ca 证书来生成对应的账户即可。

比如目前我需要生成一个 xizhibei 的账户:

# 在当前目录下添加目录,用来存放证书
mkdir certs
# 设置一些变量
KUBE_URL=https://k8s-master01.zs:6443
CLUSTER=k8s.cluster
CRT_DAYS=365
USER_NAME=xizhibei

# CA 证书可以在 master node 上找到
# 一般就在 /etc/kubernetes/ssl 或者 /etc/kubernetes/pki 里面
CA_CRT_PATH=/etc/kubernetes/ssl/ca.pem
CA_KEY_PATH=/etc/kubernetes/ssl/ca-key.pem

# 生成私有密钥
openssl genrsa -out certs/$USER_NAME.key 2048

# 用私钥生成证书,CN 表示用户名,O 表示用户组
openssl req -new -key certs/$USER_NAME.key -out certs/$USER_NAME.csr \
-subj "/CN=$USER_NAME/O=example"

# 然后用 CA 证书来给刚才生成的证书来签名
# 在这个例子中,我们给 xizhibei 这个账户签发了一张有效期为一年的证书
openssl x509 -req -in certs/$USER_NAME.csr -CA $CA_CRT_PATH -CAkey $CA_KEY_PATH \
-CAcreateserial -out certs/$USER_NAME.crt -days $CRT_DAYS

好了,这样你就生成了一个账户,接下来,需要设置下 kubectl 的配置:

# 存放 kubectl config 的文件
export KUBECONFIG=/root/k8s-$USER_NAME.conf

# 设置 cluster
kubectl config set-cluster $CLUSTER --server="$KUBE_URL" \
--certificate-authority="$CA_CRT_PATH" --embed-certs=true

# 设置私钥以及已签名证书
kubectl config set-credentials $USER_NAME --client-certificate=certs/$USER_NAME.crt \
--client-key=certs/$USER_NAME.key --embed-certs=true

# 设置 context
kubectl config set-context $USER_NAME-context --cluster=$CLUSTER --user=$USER_NAME
kubectl config use-context $USER_NAME-context

你可以使用 kubectl get pods -n example --kubeconfig /root/k8s-xizhibei.conf 来确认是否可以可用,不出所料的话,你会被告知没有权限,因为现在只是生成了一个账户,你还不可以操作具体的资源。

Error from server (Forbidden): pods is forbidden: User “xizhibei” cannot list pods in the namespace “example”

下面,就需要你配置具体的 Role 以及 RoleBinding 来授权你刚刚生成的账户,比如我想给刚刚生成的账户授权只能对部署进行操作:

# new-user.yaml
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
 namespace: example
 name: deployment-manager
rules:
- apiGroups: ["","extensions","apps"]
 resources: ["deployments", "replicasets", "pods"]
 verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
 name: deployment-manager-binding
 namespace: example
subjects:
- kind: User
 name: xizhibei@example.com
 apiGroup: ""
roleRef:
 kind: ClusterRole
 name: admin
 apiGroup: ""

然后 kubectl create -f ./new-user.yaml(注意,你得使用管理员账户,而不是刚刚生成的用户账户)。

接下来,这个用户就能进行操作了,使用 kubectl get pods -n example --kubeconfig /root/k8s-xizhibei.conf,你就能看到 pods 的列表了。

P.S.

似乎又写了一篇水文,通篇还是以介绍与总结为主,没有具体的思考内容在里面。但是回顾起来,你会发现这对于我们设计管理后台的权限还是挺有启发的。比如目前管理后台中有订单,用户以及付费记录三种资源,那么对于管理员账户来说,我们就可以设计如下的 RBAC 模型:

Account:
	- name, type: string
	- roles, type: [string] # 这里就相当于 rolebinding 了

Role:
	- name
	- rules
	 - name, type: string
	 - verbs, type: [string]
	 - resources, type: [string]

Resource: enum(order, user, payment)

Verb: enum(get, list, update, create, delete, deleteCollection)

对应的其中一条完整记录:

Account:
	- xizibei
	- ['edit', 'view']

Role:
	- 'view'
	- ['get', 'list']
	- ['order', 'user', 'payment']

本文转自掘金-kubernetes 中的权限管理

flybirding10011
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
韦恩:Kubernetes多集群管理和发布平台
02-03
韦恩 | Wayne是一个基于Web的通用多集群管理平台。 它通过可视化Kubernetes对象模板编辑来降低服务访问成本。 它具有完整的权限管理系统并适应多租户方案,是适用于企业级集群的发布平台。 韦恩(Wayne)一直在为提供大规模服务,其包含大多数在线服务,并且稳定地管理了将近一千个应用程序,数万个容器,运行了两年多,经受了生产测试的考验。 为什么命名韦恩:360 Search Private Cloud团队开发的大多数项目都是以DC漫画命名的,也不例外。 “ Wayne”是著名的超级英雄蝙蝠侠布鲁斯·韦恩的名字。 产品特点 基于RBAC(基于角色的访问控制)的权限管理:用户通过角色与部门和项目相关联,部门角色允许运营部门资源,项目角色允许运营项目资源,这更适合多租户场景。 简化了kubernetes对象创建过程:提供了基本的Kubernetes对象配置文件添加方法,同时支持高级模式以直接编辑Json / Yaml文件来创建Kubernetes对象。 LDAP / OAuth 2.0 / DB多种登录模式支持:集成企业级LDAP登录和DB登录模式,还启用OAuth2
secrets-manager:Kubernetes服务将秘密从AWS秘密管理器转移到Kubernetes
03-16
用户在AWS Secrets Manager服务创建密钥,然后密钥管理器会自动将这些密钥应用到Kubernetes。 它使AWS可以处理机密的安全性,而机密管理器则负责Kubernetes的管理。 它的设计简单,可让您安装而忘却。 设计 绿...
Kubernetes安全指南:Pod的root用户和非root用户配置详解
qq_44103359的博客
04-23 483
通过本文的详细讲解和实例演示,我们可以看到如何在Kubernetes配置Pod的root用户和非root用户,以提高集群的安全性。使用非root用户、配置安全上下文、使用网络策略和容器安全技术,都可以帮助我们在Kubernetes构建一个更加安全的集群。随着技术的不断进步,我们有理由相信,这些安全配置将在未来发挥更大的作用,为Kubernetes集群提供更加高效和便捷的解决方案。
【转载】nodePort: Invalid value valid ports is 30000-32767
jstang的博客
09-05 5467
原文链接:https://blog.csdn.net/wljk506/article/details/91869648 kubernetes 版本 1.14.3 provided port is not in the valid range. The range of valid ports is 30000-32767 在 Kubernetes(k8s) 创建 service 使用nodePor...
K8s: 运行Pod时的root用户和非root用户的安全相关配置
Wang的专栏
04-19 1499
docker 容器运行起来,默认是 root 用户 这样运行起来后,基本不会遇到权限相关问题 带来的问题是: 权限过大,被攻击后会遇到严峻挑战 基于这个问题,K8s提出了特权用户的概念 在容器启动时,虽然启动的是 root 用户,但是不具备所有root功能 只是一个映射的root用户,如果不开启 privilege 试图修改系统关键信息 是会报错的,加上 --privilege 之后,就是一个特权用户,就可以进行修改
[Kubernetes]基于角色的权限控制之RBAC
02-24 1232
Kubernetes权限控制
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
01-10 963
简介 kubernetes作为一个分布式集群的管理工具,保证集群的安全性是一个重要的任务,API Server是集群内部各个组件通信的介,也是外部控制的入口,所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。 Kubernetes使用了认证(Authentication),鉴权(Autjorization),准入控制(AdmissionControl)三步来保证...
Kubernetes权限管理详解
zou8944的博客
12-03 1824
前面介绍过Kubernetes的结构组成,其API Server用于与外界的交互,我们常用的命令行工具kubectl、UI工具lens、云服务商提供的WebUI,最终都是通过Restfule API的形式,走HTTP协议,到达API Server。此时就带来权限控制问题。 如上图,对来自外部的请求,Api Server会经过三个组件 Authentication:认证,验证用户的合法性,并从提取出用户信息,如用户名、组等 Authorization:鉴权,鉴定该用户是否有权限访问指定资源 Admis
Kubernetes 权限管理
weixin_33923762的博客
09-07 270
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes权限管理
justlpf的专栏
11-02 185
metadata:一个简单的 ServiceAccount 只需要简单的 namespace 和 name 即可。UserGroupGroup,就是一组用户的意思。如果为Kubernetes配置了外部认证服务,这个用户组就由外部认证服务提供。而对于 Kubernetes 内置用户 ServiceAccount 来说,其也有用户和用户组的概念,其,对于一个,在Kubernetessystem:serviceaccount:<ServiceAccount名字>而对于其用户组,在。
kubernetes rbac 权限管理
看,未来的博客
10-23 1077
访问控制是云原生的一个重要组成部分,也是一个 Kubernetes 集群在多租户环境下必须要采取的一个基本的安全架构手段。那么在概念上可以抽象的定义为谁在何种条件下可以对什么资源做什么操作。这里的资源就是在 Kubernetes 我们熟知的:Pod、ConfigMaps、Deployment、Secrets 等等这样的资源模型。kubernetes 支持的认证鉴权方式有几个,这里只讲 RBAC。
Kubernetes圣经 THE KUBERNETES BIBLE 2023
04-17
全书680页主要详细讲述了使用多容器Pods和设计模式、使用ConfgMaps和Secrets设置你的Pods、使用服务展示您的Pods、管理Kubernetes的命名空间、Kubernetes的持久存储、运行生产级Kubernetes工作负载、部署无状态...
tambourine:Kubernetes节点的安全主机管理
03-14
手鼓Tambourine是为Kubernetes构建的基于安全性Linux管理和报告系统。 铃鼓由核心成分组成。 手鼓(系统服务,将基于对Kubernetes集群... 对Kubernetes的tambourine名称空间read-write访问权限。 手鼓将watch()与提供
pig权限管理系统-其他
06-12
pig是一个基于 Spring Cloud Hoxton 、Spring Boot 2.3、 OAuth2 的 RBAC 权限管理系统。同时也基于数据驱动视图的理念封装 element-ui,即使没有 vue 的使用经验也能快速上手。 软件功能: 提供对常见容器化支持 ...
pd16.py11111111111
最新发布
06-02
pd16.py11111111111
u-boot-2024.07-rc3.tar.bz2
06-02
【U-Boot 2024.07源码深度解析】002 - 下载及编译 U-Boot 源码 https://blog.csdn.net/Ciellee/article/details/139381921 配套的资源
287_基于移动端选课系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
4_New Project_2024-05-28_touch_test.eprj
06-02
4_New Project_2024-05-28_touch_test.eprj
intel_openmp-2021.3.0-py2.py3-none-win_amd64.whl
06-01
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示更有效地传达信息。
如何设置Kubernetes集群的APIserver
05-17
Kubernetes集群,API Server是控制平面最重要的组件之一,它是所有组件的入口点,用于管理整个集群。API Server对外提供RESTful API接口,供客户端和其他组件访问和操作集群的资源。因此,正确地配置API ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值