kube-rbac-proxy 使用教程

于 2024-08-15 09:43:33 发布
阅读量691 收藏 15
点赞数 15
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00188/article/details/141210830
版权

kube-rbac-proxy 使用教程

kube-rbac-proxyKubernetes RBAC authorizing HTTP proxy for a single upstream.项目地址:https://gitcode.com/gh_mirrors/ku/kube-rbac-proxy

项目介绍

kube-rbac-proxy 是一个用于 Kubernetes 的小型 HTTP 代理,它可以通过 Kubernetes API 使用 SubjectAccessReview 进行 RBAC 授权。这个代理旨在作为 sidecar 容器,接受传入的 HTTP 请求,确保请求是经过授权的,而不是仅仅因为某个实体具有网络访问权限就能访问应用。kube-rbac-proxy 通过 RBAC 管理授权,特别是通过 subject access review API 调用。

项目快速启动

安装 kube-rbac-proxy

首先,克隆项目仓库:

git clone https://github.com/brancz/kube-rbac-proxy.git
cd kube-rbac-proxy

部署示例

以下是一个简单的部署示例,使用 kube-rbac-proxy 保护 /metrics 端点:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: kube-rbac-proxy-example
spec:
  replicas: 1
  selector:
    matchLabels:
      app: kube-rbac-proxy-example
  template:
    metadata:
      labels:
        app: kube-rbac-proxy-example
    spec:
      containers:
      - name: kube-rbac-proxy
        image: quay.io/brancz/kube-rbac-proxy:latest
        args:
        - --secure-listen-address=0.0.0.0:8443
        - --upstream=http://127.0.0.1:8080/
        - --logtostderr=true
        - --v=10
        ports:
        - containerPort: 8443
      - name: example-app
        image: quay.io/brancz/prometheus-example-app:v0.3.0
        ports:
        - containerPort: 8080

将上述 YAML 文件保存为 deployment.yaml,然后使用 kubectl 进行部署:

kubectl apply -f deployment.yaml

应用案例和最佳实践

保护 Prometheus 指标端点

kube-rbac-proxy 常用于保护 Prometheus 指标端点,确保只有经过授权的实体才能访问这些敏感数据。以下是一个示例配置:

apiVersion: monitoring.coreos.com/v1
kind: ServiceMonitor
metadata:
  name: example-app
  labels:
    app: example-app
spec:
  selector:
    matchLabels:
      app: example-app
  endpoints:
  - port: metrics
    path: /metrics
    scheme: https
    tlsConfig:
      insecureSkipVerify: true

最佳实践

  1. 使用 TLS 证书:确保 kube-rbac-proxy 使用 TLS 证书进行安全通信。
  2. 最小权限原则:为 kube-rbac-proxy 配置最小权限,仅允许必要的操作。
  3. 定期审查 RBAC 配置:定期审查和更新 RBAC 配置,确保安全性和合规性。

典型生态项目

Red Hat 项目

kube-rbac-proxy 在 Red Hat 项目中被广泛使用,包括 Spray Proxy 和 Tekton Results。这些项目利用 kube-rbac-proxy 来增强服务的安全性和授权管理。

Prometheus 生态

在 Prometheus 生态中,kube-rbac-proxy 常用于保护 /metrics 端点,确保只有授权的用户或服务可以访问这些指标数据。

通过以上内容,您可以快速了解和使用 kube-rbac-proxy,并将其应用于您的 Kubernetes 项目中,以增强安全性和授权管理。

kube-rbac-proxyKubernetes RBAC authorizing HTTP proxy for a single upstream.项目地址:https://gitcode.com/gh_mirrors/ku/kube-rbac-proxy

惠淼铖
关注
  • 15
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
(问题解决) 缺少gcr.io/kubebuilder/kube-rbac-proxy:v0.8.0
shenghuiping2001的专栏
06-19 2159
gcr.io/kubebuilder/kube-rbac-proxy:v0.8.0 国内下不了,但是可以想其它办法:用代替的image
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
10-16
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
kube-rbac-proxy
云淡风轻
09-27 3424
参考 https://github.com/brancz/kube-rbac-proxy/tree/master/examples/non-resource-url https://brancz.com/2018/02/27/using-kube-rbac-proxy-to-secure-kubernetes-workloads/
【问题记录】Proxy error: Could not proxy request //RBAC/api/rbac/v0_1_0/init_menu/ from XXX to XXX
weixin_47093559的博客
05-24 771
HI,这里是富婆李姐,记录一些工作中遇到的小bug 问题复现:proxy代理跨域报错,如下图 问题解决:很明显是代理没成功,找到vue.config.js文件,确定target没有问题 改成正确的代理地址就没问题了! ...
RBAC授权
weixin_30312659的博客
02-09 155
给用户授予RBAC权限没有权限会报如下错误:执行查看资源报错: unable to upgrade connection: Forbidden (user=kubernetes, verb=create, resource=nodes, subresource=proxy) [root@test4 ~]# kubectl exec -it http-test-dm2-6dbd7...
quay.io/brancz/kube-rbac-proxy:v0.12.0
12-23
#打包 docker save -o kube-rbac-proxy:v0.12.0.tar.gz quay.io/brancz/kube-rbac-proxy:v0.12.0 #上传 docker load -i kube-rbac-proxy:v0.12.0.tar.gz
kube-proxy:kube-proxy组件配置
05-15
提供用于配置kube-proxy的版本化API。 兼容性 此仓库的HEAD将与k8s.io/apiserver、k8s.io/apimachinery和k8s.io/client-go的HEAD匹配。 它从何而来? 从同步kube-proxy 。 在该位置进行代码更改,合并到k8s.io/...
k8s.gcr.io/kube-proxy:v1.17.3镜像包
03-06
kubernetes的k8s.gcr.io/kube-proxy:v1.17.3镜像包,版本为v1.17.3。文件是kube-proxy_v_1_17.3.tar
k8s.gcr.io/kube-scheduler:v1.17.3镜像包
03-06
kubernetes的k8s.gcr.io/kube-scheduler:v1.17.3镜像包,版本为v1.17.3。文件是kube-scheduler:v1.17.3
实时计算:Apache Flink:Flink与Kafka集成实现事件驱动架构.docx
09-02
实时计算:Apache Flink:Flink与Kafka集成实现事件驱动架构.docx
移动软件开发实验五:高校新闻
09-02
移动软件开发实验五:高校新闻
分布式存储系统:Google Cloud Storage:GoogleCloudStorage架构解析.docx
09-02
分布式存储系统:Google Cloud Storage:GoogleCloudStorage架构解析.docx
基于现有explorer文件资源管理,实现跨平台告诉多标签页文件资源管理器,类似360文件管理器等,还处于起步阶段
09-02
基于现有explorer文件资源管理,实现跨平台告诉多标签页文件资源管理器,类似360文件管理器等,还处于起步阶段
关于进程之间的通信IPC,管道,信号的学习
09-02
进程间通信(IPC)是操作系统中用于让不同进程之间相互通信的机制。管道是一种半双工的通信方式,数据只能单向流动,而且只能在具有亲缘关系的进程间使用。信号是在软件层次上对中断机制的一种模拟,是一种异步通信方式。该文章讲述了进程的通信通过管道与信号,以及扩展信号等实现进程间数据的交互。它们涵盖基础知识、代码示例和应用场景,适合初学者学习和参考。这些资源能够帮助你理解相关概念,并在实际开发中运用它们进行有效的进程间通信。
我的第二个练手项目:(django1.9+python2.7)慕学网在线教育平台(后端部分).zip
09-02
我的第二个练手项目:(django1.9+python2.7)慕学网在线教育平台(后端部分)
Android开发实战经典-041105-传感器视频教程.zip
09-02
Android开发实战经典_041105_传感器视频教程.zip
try except finally的用法.doc
09-02
try except finally的用法.doc
消息队列:ActiveMQ:ActiveMQ消息过滤与选择.docx
09-02
消息队列:ActiveMQ:ActiveMQ消息过滤与选择.docx
小程序-电梯品牌商城(源码).zip
最新发布
09-02
小程序-电梯品牌商城(源码).zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

惠淼铖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值