Kubernetes(k8s)-RBAC服务账户(ServiceAccount)介绍&应用

最新推荐文章于 2025-04-23 18:08:15 发布
最新推荐文章于 2025-04-23 18:08:15 发布
阅读量1k 收藏 23
点赞数 28
CC 4.0 BY-SA版权
分类专栏: Kubernetes(k8s) 文章标签: kubernetes 容器 云原生 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dessler/article/details/146610601

作者介绍:简历上没有一个精通的运维工程师。请点击上方的蓝色《运维小路》关注我,下面的思维导图也是预计更新的内容和当前进度(不定时更新)。

图片

我们上一章介绍了Docker基本情况,目前在规模较大的容器集群基本都是Kubernetes,但是Kubernetes涉及的东西和概念确实是太多了,而且随着版本迭代功能在还增加,笔者有些功能也确实没用过,所以只能按照我自己的理解来讲解。

RBAC(基于角色的访问控制,Role-Based Access Control)是一种用于管理和控制对系统资源的访问的方法。在 Kubernetes 中,RBAC 提供了一种声明式的方法来配置访问策略,允许管理员通过角色和角色绑定来精细控制用户(包括用户和 service accounts)以及它们对 Kubernetes API 的访问权限。

角色分类

Kubernetes管理的ServiceAccount(服务账户,简称sa)和UserAccount(用户账户)。

用户账户(UserAccount)

超级管理员,自定义管理员都属于此类,属于集群外部访问集群。kubeadm在部署的时候会自动给我们创建一个超级管理员,并自动配置对应的账号和权限,包括需要的证书,也就是/etc/kubernetes/admin.conf这个文件,然后这个文件在部署完成以后会放置到/root/.kube/config,供kubeclt命令使用。

服务账户(ServiceAccount)

一般用于集群内部访问kube-apiservice,其实主要就是pod访问集群,比如监控(Prometheus),webui(Dashboard)。他们本质还是是一个个Pod容器,而Pod容器访问集群一样是需要认证和授权。系统会为每个命名空间创建一个默认的default的ServiceAccount,这个ServiceAccount会自动关联到一个Secret,通过Sceret提供的token信息连接到kube-apisever,获取对应的信息。这个ServiceAccount具有kubernetes最低权限。

图片

默认创建的每一个pod,都会挂载当前命名空间的ServiceAccount,然后如果当Pod内部有调用apiserver的需求就会来这里获取认证信息。

Mounts:        /var/run/secrets/kubernetes.io/serviceaccount from default-token-7nb6z (ro)

案例

创建ServiceAccount

创建一个名字为:examples-sa的ServiceAccount,由于没有绑定任何其他资源,所以他和默认的default权限是一样的。​​​​​​​

#创建sa的yaml文件
apiVersion: v1
kind: ServiceAccount
metadata:
  name: example-sa
  namespace: dev

默认的SA只能满足Kubernetes的基本运行,如果我们要给我们自己的服务账户添加对应的权限,则必须要先理解下面的概念。

简单来说就是选择对应版本就代表了你可以选择什么对应的资源,不同的资源在不同的版本里面;不同的resources则代表你可以操作的对应的资源;不同verbs则代表对资源的具体权限。

apiGroup:
  - "描述": "支持的API组列表,例如:"
  - "核心API组": "空字符串表示核心API群"
  - "示例": 
    - "APIVersion: batch/v1"
    - "APIVersion: extensions/v1beta1"
    - "APIVersion: apps/v1"

resources:
  - "描述": "支持的资源对象列表,例如:"
  - "示例": 
    - "pods"
    - "deployments"
    - "jobs"

verbs:
  - "描述": "对资源对象的操作方法列表,例如:"
  - "示例": 
    - "get"
    - "watch"
    - "list"
    - "delete"
    - "replace"
    - "patch"

​​​​​​

Role

一个名叫dev-role的角色,作用范围dev的namespace,权限范围是pod,能执行的动作包括:get,watch,list。​​​​​​​

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: dev
  name: dev-role
rules:
- apiGroups:
  - ""
  resources:
  - "pods"
  verbs:
  - "get"
  - "watch"
  - "list"

RoleBinding

一个名叫dev-rolebinding的角色绑定,作为范围是dev命令空间,绑定给了example-sa这个ServiceAccount,使这个ServiceAccount具有了刚刚我们在角色里面定义的权限,这样我们就实现ServiceAccount,Role,和RoleBinding闭环。

Role提供对应的权限,RoleBinding把这个权限绑定到了服务账服ServiceAccount,这样只要使用ServiceAccount这个服务账号就具有定义好的权限。​​​​​​​

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: dev-rolebinding
  namespace: dev
subjects:
- kind: ServiceAccount
  name: example-sa
roleRef:
  kind: Role
  name: dev-role
  apiGroup: rbac.authorization.k8s.io

上面的操作的只能局限于某一个特定的命名空间(NameSpace),如果要全局生效则需要采用:ClusterRole和ClusterRoleBinding。

ClusterRole

一个名叫secret-reader的集群角色,作用范围是所有NameSpace,权限范围是Secrets,能执行的动作包括:get,watch,list。​​​​​​​

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

ClusterRoleBinding

ClusterRoleBinding 将名为 manager-sa 的服务账户(位于 test 命名空间中)绑定到 secret-reader 集群角色。这意味着 manager-sa 服务账户将具有在集群范围内读取所有 Secrets的权限。​​​​​​​

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: read-secrets-global-manager-sa
subjects:
- kind: ServiceAccount
  name: manager-sa
  namespace: test
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io
apiVersion: v1
kind: ServiceAccount
metadata:
  name: manager-sa
  namespace:test

​​​​​​​

虽然我们的ServiceAccount和ClusterRoleBinding都带有命名空间,实际上我们引用的该ServiceAccount的Pod也是具有命名空间属性的。所以它这里并没有问题。

这里介绍的RBAC广泛用于各种运行在Kubernetes集群内部的一些服务,包括我们前面讲过的NFS及后面会讲的很多资源都会用到这个配置,因为他们需要通过这个配置来定义自己的权限。

运维小路

一个不会开发的运维!一个要学开发的运维!一个学不会开发的运维!欢迎大家骚扰的运维!

关注微信公众号《运维小路》获取更多内容。

k8sservice account
fengcai_ke的博客
07-11 3777
k8s service account分析
Kubernetes服务账号 Service Account
Code · Cloud · Think · Repeat
09-15 1610
服务账号(Service Account)是为了方便 Pod 中的进程调用 Kubernetes API 资源或访问其他外部服务而设计的。
关于KubernetesService Account的一些笔记:Pod内部如何访问K8s集群
山河已无恙
04-27 1927
真正的坚持归于平静,靠的是温和的发力,而不是时时刻刻的刺激。
k8sServiceAccount详解
最新发布
woshihlf的博客
04-23 1218
为工作负载提供身份标识通过 RBAC 实现精细的访问控制支持安全的服务间通信管理外部资源访问凭证实现最小权限原则隔离不同工作负载提供可审计的服务身份增强集群整体安全性理解 ServiceAccount 与 Pod、Secret、RBAC 等组件的关系,对于设计安全的 Kubernetes 架构至关重要。随着 Kubernetes 的发展,ServiceAccount 机制也在不断改进,如 TokenRequest API 的引入,使得身份管理更加安全和灵活。
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 2430
梳理出ServiceAccount服务账号一条线
详解 ServiceAccount -- k8s服务账号是如何工作的?
千里之行
12-17 8982
KubernetesService Account 是如何工作的
k8sServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8sRBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
云原生Kubernetes----RBAC用户资源权限
wyq2070857323的博客
06-09 786
Kubernetes的安全机制主要围绕三个核心组件:认证、鉴权和准入控制。认证是安全机制的第一道防线,负责确认请求者的身份;鉴权则是根据用户的身份和权限策略,确定其是否有权执行特定操作;最后,准入控制对API资源对象的修改和校验进行把关。
Kubernetes-API访问控制、serviceaccount、useraccountRBAC服务账户自动化
qq_46490950的博客
08-03 727
目录一.访问控制原理二.Authentication(认证)1.创建serviceaccount2. 创建UserAccount三.Authorization(授权)1.role示例2.ClusterRole示例四.服务账户的自动化 一.访问控制原理 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernete
k8s-kubernetes常用命令,服务部署,可视化控制台Kubernetes Dashboard安装及token的生成
你是我的天晴
06-12 1767
上一篇文章介绍了怎么,现在我们来学习下kubernetes的常用命令我们直接通过部署可视化控制台kubernetes-dashboard来顺便学习下kubernetes的常用命令及服务的部署。
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 2159
RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
Kubernetes安全--基于sa和user的rbac认证机制
07-29 1011
K8S中有两种用户(User)——服务账号(ServiceAccount)和普通意义上的用户(User)ServiceAccount是由K8S管理的,而User通常是在外部管理,K8S不存储用户列表——也就是说,添加/编辑/删除用户都是在外部进行,无需与K8S API交互,虽然K8S并不管理用户,但是在K8S接收API请求时,是可以认知到发出请求的用户的,实际上,所有对K8S的API请求都需要绑定身份信息(User或者ServiceAccount),这意味着,可以为User配置K8S集群中的请求权限。
ServiceAccount 详解
Lzcsfg的博客
08-18 1051
Kubernetes 中,是一种用于在 Pod 中提供身份验证和授权的机制。ServiceAccount 允许应用程序在集群内以特定身份运行,并且可以访问 Kubernetes API。
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 2138
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
云原生ServiceAccount程序用户详解
weixin_73059729的博客
08-19 1259
Kubernetes提供两种完全不同的方式来为客户端提供支持,这些客户端可能运行在你的集群中,也能与你的集群的控制平面有关,需要向API(提供Kubernetes API服务的控制平缅组件),服务器完成身份认证。服务账号(Service Account)为Pod中运行的进程提供身份标识,并映射到ServiceAccount对象。当你向API服务器执行身份认证时,你会讲自己标识为某个用户(User)。Kubernetes能够识别用户的概念,但是Kubernetes自身并不提供User API。
K8S用户管理体系介绍
singless的博客
08-17 1629
k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server accountk8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s的管理人员使用的账户,也就是我们使用的账户
k8s系列之十三Service AccountRBAC授权
ByteX的博客
02-05 1646
首先Kubernetes账户区分为:User Accounts(用户账户) 和 Service Accounts(服务账户) 两种,它们的设计及用途如下:UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,使用kubectl命令时用的就是UserAccount账户。UserAccount是全局性,在集群所有namespaces中,名称具有唯一性,默认情况下用户为admin;用户名称可以在kubeconfig中查看。
k8s:UserAccountServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 1386
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户
k8sRBACServiceAccount Clusterrolebinding Clusterrole有什么区别
07-17
RBAC(Role-Based Access Control)、ServiceAccount、ClusterRoleBinding和ClusterRole是Kubernetes的几个重要概念,它们之间有以下区别: 1. RBAC(Role-Based Access Control):RBACKubernetes中的一种访问控制机制,用于定义和管理用户、ServiceAccount或其他身份对Kubernetes资源的访问权限。RBAC通过角色(Role)和绑定(Binding)的方式实现权限控制。 2. ServiceAccountServiceAccountKubernetes中用于身份验证和授权的一种特殊类型的账户。每个Pod都会自动关联一个ServiceAccount,它用于标识Pod内运行的应用程序或容器ServiceAccount可以用于与Kubernetes API进行交互,并通过ClusterRoleBinding与ClusterRole进行绑定来获取特定的权限。 3. ClusterRoleBinding:ClusterRoleBinding用于将ClusterRole与用户、ServiceAccount或其他身份进行绑定,从而赋予它们集群级别的权限。ClusterRoleBinding在整个集群范围内生效,可以授予身份对集群级别资源的访问权限。 4. ClusterRole:ClusterRole是Kubernetes中定义权限规则的一种资源对象,用于授予对集群级别资源的操作权限。ClusterRole定义了一组权限规则,可以被绑定到用户、ServiceAccount或其他身份上,通过ClusterRoleBinding赋予它们相应的权限。 总结来说,RBACKubernetes中的访问控制机制,ServiceAccount是用于身份验证和授权的账户,ClusterRoleBinding用于将ClusterRole与身份进行绑定,赋予集群级别的权限,而ClusterRole是定义权限规则的资源对象。它们共同工作,用于实现对Kubernetes资源的访问控制和权限管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值