Google Kubernetes Engine (GKE) RBAC演示项目指南

于 2024-08-27 10:05:16 发布
阅读量217 收藏 10
点赞数 6
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00080/article/details/141595435
版权

Google Kubernetes Engine (GKE) RBAC演示项目指南

gke-rbac-demoThis project covers two use cases for RBAC within a Kubernetes Engine cluster. First, assigning different permissions to user personas. Second, granting limited API access to an application running within your cluster. Since RBAC's flexibility can occasionally result in complex rules, you will also perform common steps for troubleshooting RBAC as a part of the second scenario.项目地址:https://gitcode.com/gh_mirrors/gk/gke-rbac-demo

项目介绍

本项目由Google Cloud Platform维护,专注于展示如何在Kubernetes Engine(GKE)集群中实施Role-Based Access Control(RBAC)。它覆盖了两种主要场景:首先,根据不同用户角色分配不同的权限;其次,向运行在您集群内的应用程序授予有限的API访问权限。由于RBAC的高度灵活性,项目还引导您通过常见的步骤来排查RBAC规则中的潜在问题。

项目快速启动

步骤一:环境准备

确保您已安装并配置了以下工具:

  • gcloud SDK
  • kubectl

步骤二:创建集群

首先,创建一个GKE集群(这里假设您已经了解基本操作或已有一个集群)。

步骤三:设置RBAC配置

接下来,我们将使用项目提供的Terraform脚本或手动步骤应用RBAC规则:

  1. 克隆项目

    git clone https://github.com/GoogleCloudPlatform/gke-rbac-demo.git

  2. 应用RBAC YAML配置: 登录到您的“admin”实例并执行以下命令以创建命名空间、角色和绑定。

    cd gke-rbac-demo/terraform/iam
kubectl apply -f /manifests/rbac.yaml

  3. 资源创建: 在“owner”实例上,创建部署示例:

    gcloud compute ssh gke-tutorial-owner
kubectl create -n dev -f /manifests/hello-server.yaml

应用案例和最佳实践

在生产环境中,RBAC是管理不同团队成员访问权限的关键。此项目展示了如何精细控制对特定资源的访问,如:

  • 将开发人员限定在开发命名空间内;
  • 给审计员仅查看日志和事件的权限;
  • 确保只有指定的角色能够修改生产资源。

最佳实践中,建议定期审查RBAC配置,保证其符合最小权限原则,并且及时更新以适应团队和应用的变化。

典型生态项目集成

在Kubernetes生态中,RBAC可以与Istio服务网格结合,提供更细粒度的服务间通信控制。例如,通过Istio的AuthorizationPolicy进一步细化服务间的访问权限,实现基于RBAC策略的微服务治理。要实现这一点,您需在Istio启用的环境中定义相应的策略文件,确保应用程序流量遵循设定的权限边界。

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: httpbin
  namespace: default
spec:
  selector:
    matchLabels:
      app: httpbin
  rules:
  - from:
    - source:
        principals: ["cluster.local/ns/default/sa/dev-app"]
    to:
    - operation:
        methods: ["GET"]

这个示例展示了如何仅允许来自dev-app服务账户的GET请求访问名为httpbin的服务,这加强了跨服务的安全控制。

通过这些步骤和概念,您可以有效地管理和保护您的GKE集群资源,同时支持灵活的应用程序安全策略。

gke-rbac-demoThis project covers two use cases for RBAC within a Kubernetes Engine cluster. First, assigning different permissions to user personas. Second, granting limited API access to an application running within your cluster. Since RBAC's flexibility can occasionally result in complex rules, you will also perform common steps for troubleshooting RBAC as a part of the second scenario.项目地址:https://gitcode.com/gh_mirrors/gk/gke-rbac-demo

翟苹星Trustworthy
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Kubernetes之scert-manager证书控制器(证书自动颁发)
weixin_43357497的博客
12-14 1214
cert-manager证书控制器 cert-manager作为一系列部署资源在Kubernetes集群中运行。它 CustomResourceDefinitions 用于配置证书颁发机构和请求证书。 它使用常规的YAML清单进行部署,就像Kubernetes上的任何其他应用程序一样。 部署证书管理器后,您必须配置Issuer或ClusterIssuer 代表证书颁发机构的资源。有关配置不同Issuer类型的更多信息,请参见各自的配置指南。 注意:从cert-managerv0.14.0开始,Kubern
google-kubernetes-engine-plugin:Google Kubernetes EngineGKE)插件允许您将构建工件部署到使用Jenkins在GKE中运行的Kubernetes集群。
02-27
在插件管理器中,单击“可用”选项卡,然后查找“ Google Kubernetes Engine插件”。 选中“安装”列下的框,然后单击“不重新启动安装”按钮。 如果该插件未出现在Available之下,请确保它出现在Installed并已...
探索Kubernetes Engine中的基于角色的访问控制:RBAC实战指南
gitblog_00097的博客
06-10 350
探索Kubernetes Engine中的基于角色的访问控制:RBAC实战指南 gke-rbac-demoThis project covers two use cases for RBAC within a Kubernetes Engine cluster. First, assigning different permissions to user personas. Second, gr...
OpenFaaS的Kubernetes 部署指南
weixin_34273481的博客
07-26 943
指南适用于在 Linux 主机上运行的 vanilla Kubernetes 1.8 或 1.9 集群。他不是一个手册,请参阅openfaas/guide上提供的一系列指南和博客文章。 Kubernetes OpenFaaS 是 Kubernetes 原生的,而且用到了Deployments, Services 和 Secrets。更多的信息请查看"faas-netes" 1.0 构建集群 你可...
Kubernetes 入门指南(三)
龙哥盟
07-16 844
尽管联合在 Kubernetes 中仍然非常新颖,但它为高度追求的跨云提供商解决方案奠定了基础。使用联合,我们可以在本地和一个或多个公共云提供商上运行多个 Kubernetes 集群,并管理利用我们组织的全部资源的应用程序。这开始为避免云提供商锁定和高可用部署铺平道路,可以将应用服务器放置在多个集群中,并允许与我们的联合集群中位于单个点的其他服务进行通信。我们可以提高对特定提供商或地理位置的中断的隔离性,同时提供更大的灵活性,以便扩展和利用总体基础架构。
gke下载_从gke安全访问AWS
weixin_26636643的博客
09-27 727
gke下载It is not a rare case when an application running on Google Kubernetes Engine (GKE) needs to access Amazon Web Services (AWS) APIs. Any application has needs. Maybe it needs to run an analytics q...
Kubernetes 云原生指南(一)
龙哥盟
07-16 711
本书的目的是为您提供构建使用 Kubernetes 的云原生应用程序所需的知识和广泛的工具集。Kubernetes 是一种强大的技术,为工程师提供了强大的工具,以使用容器构建云原生平台。该项目本身不断发展,并包含许多不同的工具来解决常见的场景。对于本书的布局,我们不会局限于 Kubernetes 工具集的任何一个特定领域,而是首先为您提供默认 Kubernetes 功能的最重要部分的全面摘要,从而为您提供在 Kubernetes 上运行应用程序所需的所有技能。
Kubernetes 微服务实用指南(六)
龙哥盟
07-16 363
让我们首先回顾一下微服务面临的问题,与单体应用相比,看看服务网格是如何解决这些问题的,然后你就会明白我为什么对它们如此兴奋。在设计和编写 Delinkcious 时,应用代码相当简单。我们跟踪用户、他们的链接以及他们的关注/被关注关系。我们还进行一些链接检查,并将最近的链接存储在新闻服务中。最后,我们通过 API 公开所有这些功能。在本章中,我们看了服务网格,特别是 Istio。Istio 是一个复杂的项目;它位于 Kubernetes 之上,并创建了一种带有代理的影子集群。Istio 具有出色的功能;
Kubernetes 微服务实用指南(一)
龙哥盟
07-16 813
使用 Kubernetes 进行微服务实践是您一直在等待的书籍。它将引导您同时开发微服务并将其部署到 Kubernetes 上。微服务架构与 Kubernetes 之间的协同作用非常强大。本书涵盖了所有方面。它解释了微服务和 Kubernetes 背后的概念,讨论了现实世界中的问题和权衡,带您完成了完整的基于微服务的系统开发,展示了最佳实践,并提供了充分的建议。本书深入浅出地涵盖了大量内容,并提供了工作代码来说明。
Kubernetes安全地访问AWS服务,告诉你多云场景下如何管理云凭据!
CSDN云计算
02-25 5094
作者|Alexey Ledenev翻译 | 天道酬勤,责编 |Carol出品 | CSDN云计算(ID:CSDNcloud)随着企业与各种云提供商合作,多云场景已经变得十分常见。在谷...
terraform-google-gke-cluster:一个Terraform模块,用于创建最佳实践的Google Kubernetes EngineGKE)集群
02-03
标题中的“terraform-google-gke-cluster”是一个Terraform模块,专为在Google Kubernetes Engine (GKE) 上创建遵循最佳实践的Kubernetes集群而设计。这个模块简化了在Google Cloud Platform (GCP) 上自动化部署GKE...
vault-on-gke:使用Terraform在Google Kubernetes EngineGKE)上运行@HashiCorp Vault
02-03
标题中的“vault-on-gke项目是关于在Google Kubernetes EngineGKE)上部署和运行HashiCorp Vault的实践教程。HashiCorp Vault是一款强大的工具,用于管理和安全地存储敏感数据,如API密钥、密码、证书等。...
pulumi-vault-on-gke:使用@pulumi在Google Kubernetes EngineGKE)上运行@hashicorp Vault
05-17
使用Pulumi在Google Kubernetes EngineGKE)上的HashiCorp Vault 本示例使用作为置备工具,使用基础结构即代码在上置备高可用性的群集。 此示例基本上相同,但是使用而不是Terraform(duh!)。 先决条件 确保已...
这是作者的API开发网站,采用Django开发框架.zip
最新发布
08-26
这是作者的API开发网站,采用Django开发框架.zip
VSCode 配置 C/C++ 环境详细教程
08-26
基于Windows、linux、macos三大平台教程
ant-design-vue-1.3.15.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ant-design-vue-1.1.7.zip
08-26
基于 Ant Design 和 Vue 的企业级 UI 组件库
ant-design-5.19.3.zip
08-26
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级中后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

翟苹星Trustworthy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值