实践中理解Kubernetes RBAC之Role

最新推荐文章于 2024-04-15 23:57:41 发布
最新推荐文章于 2024-04-15 23:57:41 发布
阅读量272 收藏
点赞数
文章标签: kubernetes https 运维 hadoop etcd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnzxm/article/details/117393694
版权

背景

172.16.99.128是的我k8s集群的master节点,此处是从这里获取集群的证书。

创建访问architechure命名空间的用户

  1. 给用户 devops 创建一个私钥

openssl genrsa -out devops.key 2048

  1. 使用我们刚刚创建的私钥创建一个证书签名请求文件:devops.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组)

openssl req -new -key devops.key -out devops.csr -subj "/CN=devops/O=architechure"

  1. 然后找到我们的Kubernetes集群的CA,我们使用的是kubeadm安装的集群,CA相关证书位于/etc/kubernetes/pki/目录下面,如果你是二进制方式搭建的,你应该在最开始搭建集群的时候就已经指定好了CA的目录,我们会利用该目录下面的ca.crtca.key两个文件来批准上面的证书请求,生成最终的证书文件,我们这里设置证书的有效期为500

scp root@172.16.99.128:/etc/kubernetes/pki/ca.crt .
scp root@172.16.99.128:/etc/kubernetes/pki/ca.key .
openssl x509 -req -in devops.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out devops.crt -days 500
➜  ls -al
total 72
drwxr-xr-x  11 marion  staff   352 Dec 25 11:32 .
drwxr-xr-x  13 marion  staff   416 Dec 25 11:26 ..
-rw-r--r--   1 marion  staff    17 Dec 25 11:32 .srl
-rw-r--r--   1 marion  staff  1156 Dec 25 11:32 README.md
-rw-r--r--   1 marion  staff  1025 Dec 25 11:30 ca.crt
-rw-------   1 marion  staff  1675 Dec 25 11:30 ca.key
-rw-r--r--   1 marion  staff  1009 Dec 25 11:32 devops.crt
-rw-r--r--   1 marion  staff   924 Dec 25 11:30 devops.csr
-rw-r--r--   1 marion  staff  1679 Dec 25 11:27 devops.key

  1. 现在我们可以使用刚刚创建的证书文件和私钥文件在集群中创建新的凭证:

kubectl config set-credentials devops --client-certificate=devops.crt  --client-key=devops.key

  1. 通过刚才创建的用户凭证创建新的上下文(Context)

#如果你的电脑上正在管理多个集群的,可能你的集群名字会被改变,因此在下面的--cluster参数处指明实际的集群名称,如下图
kubectl config set-context devops-context --cluster=cluster-tf26gt9mmk --namespace=architechure --user=devops

  1. 尝试通过该用户操作命令

➜  kubectl get pods --context=devops-context
Error from server (Forbidden): pods is forbidden: User "devops" cannot list resource "pods" in API group "" in the namespace "architechure" # 因为该devops-context还没有操作API的权限

  1. 给用户创建一个role的角色devops.role.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: devops-role
  namespace: architechure
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["deployments", "replicasets", "pods"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 也可以使用['*']

然后在集群中创建该角色

kubectl apply -f ./devops.role.yaml

  1. 创建权限与角色之间的绑定关系devops-rolebinding.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: devops-rolebinding
  namespace: architechure
subjects:
- kind: User
  name: devops
  apiGroup: ""
roleRef:
  kind: Role
  name: devops-role # 上一步创建的devops-role实体
  apiGroup: ""

在集群中创建角色与用户之间的绑定关系

k apply -f ./devops-rolebinding.yaml

  1. 此时我们可以通过kubecm切换到该角色上

此时,从下图就可以查看到当前集群的有一个新的用户角色devops,上面用到的Kubecm我们之前也分享过,如果需要可以点此跳转

  1. 权限验证

> kubectl get pods
No resources found in architechure namespace.
> kubectl get replicasets
No resources found in architechure namespace.
> kubectl get deploy
No resources found in architechure namespace.
> kubectl get svc
Error from server (Forbidden): services is forbidden: User "devops" cannot list resource "services" in API group "" in the namespace "architechure"

总结一下就是:

  • 根据集群的CA证书创建出来用户证书

  • 根据用户证书创建该用户在集群内的凭证和上下文内容

  • 要想用户能进行基本的操作,需要对用户针对apiGroup授权

为devops用户增加指定命名空间的权限

  1. 我们先把当前上下文切换到之前有权限操作的user-tf26gt9mmk用户上

kubecm switch
# select dev

否则以下步骤会出错:

  1. 首先需要创建针对指定命名空间的上下文

kubectl config set-context devops-context --cluster=cluster-tf26gt9mmk --namespace=default --user=devops

此时查询列举default空间下的pods是不行的,因为还没允许操作

kubectl get pods --context=devops-context
Error from server (Forbidden): pods is forbidden: User "devops" cannot list resource "pods" in API group "" in the namespace "default"

  1. 创建default空间下的role与rolebinding

devops-role-default.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: devops-role
  namespace: default
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["deployments", "replicasets", "pods"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 也可以使用['*']

devops-rolebinding-default.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: devops-rolebinding
  namespace: default
subjects:
- kind: User
  name: devops
  apiGroup: ""
roleRef:
  kind: Role
  name: devops-role
  apiGroup: ""

然后我们在集群中创建这两个对象

kubectl apply -f devops-role-default.yaml
kubectl apply -f devops-rolebinding-default.yaml

  1. 查看role资源对象是否创建

kubectl get role -A |grep devops-role # 分别在architechure和default命名空间下
architechure                   devops-role                                      2021-05-17T07:57:27Z
default                        devops-role                                      2021-05-28T03:19:24Z

  1. 切换当前上下文环境,验证是否可以操作资源

kubecm switch
# select devops-context
kubectl get pods -n default
kubectl get pods -n architechure

到这里就基本上说清楚如何创建一个用户、授权操作k8s集群的过程了。

云原生生态圈
关注
RBAC权限系统分析、设计与实现
╱/.独﹄無㈡oоΟ的博客
02-14 987
目前,使用最普遍的权限管理模型正是RBAC(Role-Based Access Control)模型,这些文章也主要是介绍基于RBAC的权限管理系统,这篇文章从RBAC是什么、如何设计RBAC两部分来介绍。 我所负责的项目涉及到角色权限的问题全部是通过RBAC来实现的,以前只是出于熟练使用的层面,现在学习一下RBAC更深层次的理论知识。 一、RBAC是什么 1、RBAC模型概述 RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为.
Kubernetes Handbook-Kubernetes⽂指南/云原⽣应 ⽤架构实践⼿册
07-29
6. **安全与认证**:探讨Kubernetes的安全实践,包括RBAC(Role-Based Access Control)、Service Accounts和TLS证书管理。 7. **DevOps流程**:理解如何结合Jenkins、GitLab CI/CD等工具实现持续集成和持续部署(C...
kubernetes role
weixin_30423977的博客
02-28 119
https://kubernetes.io/docs/admin/authorization/rbac/ 转载于:https://www.cnblogs.com/mhc-fly/p/8485289.html
rbac(Role-Based Access Control基于角色的权限控制)
XiaoPawnYe的博客
07-23 418
1.数据库设计 rbac (Role-Based Access Control基于角色的权限控制) 1.表结构设计 2.添加models from django.db import models class Permission(models.Model): """ 权限表 """ title = models.CharField(verbose_name='标题', max_length=32) url = models.CharField(ver
RBAC(Role-Based Access Control )基于角色的访问控制
weixin_49866355的博客
09-24 605
RBAC认为授权实际就是who,what,how三者之间的关系,即who对what进行how的操作
Kubernetes RBAC 实例讲解
wenwst的专栏
01-06 1735
Kubernetes 1.6 以上可以使用。 经常在配置Kubernetes时会卡在权限问题上面,在这里,我们通过一个实例来说明如何配置 RBAC。这里没有专业的术语,只有指指点点,应该更容易理解。为了把问题说明白,这里使用注释的方式进行说明类型为ServiceAccount--- apiVersion: v1 kind: ServiceAccount # 类型为ServiceAccount, 基本
20. {Kubernetes RBAC
KubernetesRBAC是一种重要的安全机制,可以帮助管理员精细地控制用户对集群资源的访问权限,从而提高系统的安全性和稳定性。 ## A. RBAC的概念和作用 RBAC通过将用户分配到不同的角色(Role)或角色绑定...
深入理解KubernetesRBAC和安全策略
它构建在Google内部使用的Borg系统之上,旨在解决基于容器的应用部署、扩展和管理的挑战。Kubernetes提供了自动化的容器操作能力,包括部署、调度、扩展和管理容器化应用程序。 Kubernetes采用了多个核心概念,如...
KubernetesRBAC权限控制:Role、RoleBinding、ClusterRole、ClusterRoleBinding详解
Kubernetes RBAC(Role-Based Access Control)权限控制机制是一种非常重要的安全特性。RBAC 的概念来源于传统的访问控制模型,它通过定义角色、权限和角色分配等方式,实现对 Kubernetes 资源和 API 的访问...
KubernetesRBAC权限管理实践指南
KubernetesRBAC被广泛运用于对集群资源的授权管理,是确保集群安全性的重要手段之一。 ## 1.1 什么是RBAC RBAC是一种访问控制的策略,通过将权限赋予特定角色,再将用户或者服务账号指定为相应角色,从而...
OpenShift 4 - RBAC基于Role的访问授权
多恩斯基的博客
08-06 1342
文章目录RBAC相关概念Role隶属于集群的Role(Cluster Role)隶属于项目的Role(Local Role)RoleBinding查看用户的RBAC参考 RBAC相关概念 在OpenShiftRBAC(基于角色的访问控制)包括以下相关对象。 身份主体(Subject):一个user、group或serviceaccount。 规则(Rule):定义了对于指定object可以做的操作(操作包括:get, list, create, update, delete, deletecollect
容器编排技术 -- Kubernetes kubectl create role 命令详解
YunWisdom
08-27 765
容器编排技术 -- Kubernetes kubectl create role 命令详解 1kubectl create role 2语法 3示例 4Flags kubectl create role 使用单一规则创建Role。 语法 $ role NAME --verb=verb --resource=resource.group/subresource [--r...
Kubernetes】k8s的安全管理详细说明【role赋权和clusterrole赋权详细配置说明(1)
2301_77116622的博客
04-02 395
既然选择这个行业,选择了做一个程序员,也就明白只有不断学习,积累实战经验才有资格往上走,拿高薪,为自己,为父母,为以后的家能有一定的经济保障。学习时间都是自己挤出来的,短时间或许很难看到效果,一旦坚持下来了,必然会有所改变。不如好好想想自己为什么想进入这个行业,给自己内心一个答案。面试大厂,最重要的就是夯实的基础,不然面试官随便一问你就凉了;其次会问一些技术原理,还会看你对知识掌握的广度,最重要的还是你的思路,这是面试官比较看重的。
Kubernetes】k8s的安全管理详细说明【role赋权和clusterrole赋权详细配置说明】
最新发布
weixin_58085973的博客
04-15 991
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂
基于 RBAC(Role-Based Access Control, 基于角色访问控制) 简单实现动态菜单及权限管理
chu
01-08 802
RBAC
OAuth2.0的scope和RBAC的role有什么关系
码农小胖哥
11-16 3274
使用了OAuth2.0授权协议之后我们在API的访问控制时又多了一个scope的概念。它和角色访问控制的作用类似,有点让人有点模糊不清。今天我们来理清楚这两个概念。scopescope是 ...
K8S基础-kubectl
wangshui898的专栏
11-19 248
基础命令-kubectl 查看命令 ## 查看集群信息 kubectl cluster-info kubectl cluster-info dump ## 查看集群各服务信息 kubectl get cs ## 查看集群证书请求信息 kubectl get csr ## 批准证书 kubectl certificate approve node-csr-GOt-4QjBYgU9iN0V05ZCOxmK8wfwve50u_n0erxEeCc ## 查看k8s集群节点 kubectl get node
K8S创建role命令示例
学亮编程手记
11-11 1125
Kubernetes 安全权限管理深度剖析
liuzhen007的专栏
04-15 1447
Kubernetes 作为当下应用最普遍的容器集群管理工具,详细了解它的认证鉴权机制是非常有必要的。本文的主要内容就是增进大家对k8s的认证和鉴权模块的了解,其包括kubernetes准入控制及RBAC的集群认证与鉴权机制。
Kubernetes RBAC与OpenSSL身份验证:详解与示例
同时,作者建议读者进一步探索其他安全实践和相关文献,以深化对 Kubernetes RBAC 和 OpenSSL 用法的理解。 本PDF文件深入剖析了如何在 Kubernetes 利用 RBAC 和 OpenSSL 进行认证授权,包括角色管理、权限分配、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云原生生态圈

你的鼓励是我创作的动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值