kubernetes-RBAC介绍

最新推荐文章于 2024-04-20 07:30:00 发布
最新推荐文章于 2024-04-20 07:30:00 发布
阅读量390 收藏 1
点赞数
分类专栏: kubernetes 文章标签: kubernetes RBAC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hszxd479946/article/details/108691533
版权

一、概述

RBAC: Role-Based Access Control,基于角色的权限控制。

从kubernetes1.6版本起,RBAC成为kubernetes默认的访问控制策略。

RBAC主要包含以下概念:

Role:角色,角色定义了一组权限的集合,例如只读权限,读写权限

Subject:主体,主体是角色,可以是用户,也可以是ServiceAccount,在实际使用中,主体通常是ServiceAccount。

RoleBinding:定义了角色和主体之间的绑定关系。

关系图:

 

二、Role & ClusterRole

kubernetes有role以及clusterrole两种角色,简单来说就是role是受namespace制约的,role的作用仅在指定的namespace中生效,而clusterrole是定义到整个集群作用域上,不受namespace的制约,也就是clusterrole是对整个k8s集群生效的。

我们来定义一个role:

准备role的yaml文件---nginx_role.yaml

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: scm-tools
  name: nginx-pod-reader
rules:
# 表示对核心api group中的pod资源有只读的权限
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
# 表示对"batch"以及"extensions" api group中的job资源有读写权限
- apiGroups: ["batch", "extensions"]
  resources: ["jobs"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

创建role:

kubectl apply -f nginx_role.yaml

我们定义了一个role,名称是nginx-pod-reader,属于scm-tools这个namespace,对核心api组下的pod资源拥有 get、list、watch操作权限,对batch和extensions api组中的job资源拥有["get", "list", "watch", "create", "update", "patch", "delete"] 一系列读写权限。

查看刚刚创建的role:

[root@scm-master nginx]# kubectl get role -n scm-tools | grep nginx-pod-reader
nginx-pod-reader                        70m

再来看看clusterrole,clusterrole和role的区别在于作用域不同。

准备ClusterRole的yaml文件---cluster_role.yaml:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # ClusterRole不受namespace的制约,这里不需要指定namespace
  name: secrets-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

创建ClusterRole:

kubectl apply -f cluster_role.yaml

查看创建的ClusterRole:

[root@scm-master nginx]# kubectl get clusterrole | grep secrets-reader
secrets-reader                                                         52m

 

三、ServiceAccount

ServiceAccount是提供给服务使用的一个账号,创建比较简单,我们来看看它的yaml文件:

apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: scm-tools
  name: nginx-svc-acc

创建ServiceAccount:

kubectl apply -f nginx_svc_acc.yaml

查看创建的ServiceAccount:

[root@scm-master nginx]# kubectl get sa -n scm-tools | grep nginx
nginx-svc-acc            1         5m58s

四、RoleBinding & ClusterRoleBinding

RoleBinding和ClusterRoleBinding 是将 Role、ClusterRole和相应的ServiceAccount绑定起来,使得ServiceAccount具有Role中描述的相关权限来访问k8s集群中对应的资源

准备RoleBinding的yaml文件---role_binding.yaml

apiVersion: rbac.authorization.k8s.io/v1
# 这个角色绑定允许 "scm-nginx" 服务账号在 "scm-tools" 命名空间中有读取pod 的权限。
kind: RoleBinding
metadata:
  name: read-pods
  namespace: scm-tools # 这里只授予 "scm-tools" 命名空间的权限。
subjects:
- kind: ServiceAccount
  name: nginx-svc-acc
  apiGroup: ""
roleRef:
  kind: Role
  name: nginx-pod-reader
  apiGroup: rbac.authorization.k8s.io

创建rolebinding:

kubectl apply -f role_binding.yaml

查看创建的rolebinding:

[root@scm-master nginx]# kubectl get rolebinding -n scm-tools | grep read-pods
read-pods                               21s

同理创建ClusterRoleBinding也是类似的,ClusterRoleBinding的yaml文件:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: read-pods-cluster-role
subjects:
- kind: ServiceAccount
  name: nginx-svc-acc
  namespace: scm-tools
  apiGroup: ""
roleRef:
  kind: ClusterRole
  name: secrets-reader
  apiGroup: rbac.authorization.k8s.io

 

五、为pod分配ServiceAccount

上面的步骤都完成之后,我们就要为pod分配已经完成角色绑定的ServiceAccount了,使得pod能够使用ServiceAccount中拥有的对k8s资源的操作权限, 这里以nginx的deployment.yaml为例,可能nginx并不需要设置RBAC策略,仅仅是在此处作为示例展示。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
  labels:
    app: nginx
  namespace: scm-tools
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.14.2
        ports:
        - containerPort: 80
      serviceAccountName: nginx-svc-acc

创建deployment之后,我们查看nginx的pod:

kubectl edit po nginx-deployment-5c9786c4dd-54v7d -n scm-tools

可以看到ServiceAccount已经添加到pod中了,ServiceAccount具备的权限也随之生效了。

参考资料:

https://www.kubernetes.org.cn/4062.html

https://www.cnblogs.com/chenqionghe/p/11685529.html

hszxd479946
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes-server-linux-amd64.tar.gz
08-28
10. **安全配置**:确保所有组件都使用安全的配置,如启用TLS通信,限制API访问,以及使用RBAC(Role-Based Access Control)进行权限管理。 通过以上步骤,你就能在Linux AMD64平台上成功部署Kubernetes 1.25.10。...
k8s进阶篇-准入控制及细粒度权限控制
正府街乖乖的红枣
04-11 156
RBAC(Role-Based Access Control,基于角色的访问控制)是一种基于企业内个人用户的角色来管理对计算机或网络资源的访问方法,其在Kubernetes 1.5版本中引入,在1.6时升级为Beta版本,并成为Kubeadm安装方式下的默认选项。从Kubernetes 1.9版本开始,Kubernetes可以通过一组ClusterRole创建聚合ClusterRoles,聚合ClusterRoles的权限由控制器管理,并通过匹配ClusterRole的标签自动填充相对应的权限。
k8s权限配置(ServiceAccount、Role、ClusterRole
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
K8s RBAC认证授权深度解析
最新发布
博客虽小,世界尽在其中
04-20 2043
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
Kubernetes Role & ClusterRole
叶康铭的博客
02-27 1万+
什么是RBAC RBAC全称Role-Based Access Control,是Kubernetes集群基于角色的访问控制,实现授权决策,允许通过Kubernetes API动态配置策略。 什么是Role Role是一组权限的集合,例如Role可以包含列出Pod权限及列出Deployment权限,Role用于给某个NameSpace中的资源进行鉴权。 通过YAML资源定义清单创建Role kub...
Kubernetes v1.6开始支持RBAC
weixin_34358092的博客
04-20 156
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes RBAC 详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
03-24 2241
原文链接:Kubernetes RBAC 详解 前面两节课我们学习了Kubernetes中的两个用于配置信息的重要资源对象:ConfigMap和Secret,其实到这里我们基本上学习的内容已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前,我们还需要给大家讲解一个重要的概念:RBAC - 基于角色的访问控制。 RBAC使用rba...
kubernetes-dashboard.yaml
08-11
resourceNames: ["kubernetes-dashboard-key-holder", "kubernetes-dashboard-certs"] verbs: ["get", "update", "delete"] # Allow Dashboard to get and update 'kubernetes-dashboard-settings' config map. -...
kubernetes-model-rbac-5.8.0.jar中文-英文对照文档.zip
03-09
注:下文中的 *** 代表文件名中的组件名称。 # 包含: 中文-英文对照文档:【***-javadoc-API文档-中文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 ...
kubernetes-rbac-audit:Kubernetes中用于审计RBAC的工具
05-02
ExtensiveRoleCheck是一个Python工具,可扫描Kubernetes RBAC中的危险角色。 该工具是“ Kubernetes Pentest方法论”博客文章系列的一部分。 usage: ExtensiveRoleCheck.py [-h] [--clusterRole CLUSTERROLE] [--...
kubernetes系列】KubernetesRBAC
margu_168的博客
07-11 1103
k8s的权限控制在实际工作中不那么经常使用,但是却是很重要的,我们需要深入理解才能很好的解决某些问题。在我们现目前的了解中,常用的授权插件有以下几种: Node(节点认证) ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) Webhook(基于http回调机制的访问控制)kubernetes 集群相关所有的交互都需要通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,Kubernetes的授权是基于插件形式的,在1.5版的时候引入了基于角色的访问控制(Role-Bas
Kubernetes 安全权限管理深度剖析
liuzhen007的专栏
04-15 1413
Kubernetes 作为当下应用最普遍的容器集群管理工具,详细了解它的认证鉴权机制是非常有必要的。本文的主要内容就是增进大家对k8s的认证和鉴权模块的了解,其中包括kubernetes准入控制及RBAC的集群认证与鉴权机制。
Kubernetes(k8s)权限管理RBAC详解
ss810540895的博客
02-09 1436
kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。启用RBAC,需要在 apiserver 中添加参数–authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6+版本都默认开启了RBAC。AlwaysDeny:表示拒绝所有请求,一般用于测试。:允许接收所有请求。
kubernetes(k8s)之rbac权限管理详解
qq_44823950的博客
08-14 2131
kubernetes(k8s)之rabc权限
Kubernetes角色访问控制RBAC和权限规则(Role+ClusterRole)---好文
BigData_Mining的博客
03-27 1万+
基于角色的访问控制(Role-Based Access Control, 即”RBAC”)使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。 RBAC API所定义的四种类型 Role与ClusterRoleRBAC API中,一个角色定义了一组特定权限的规则。namespace范围内的角色由Ro...
K8s中ServiceAccount、Role、RoleBinding、ClusterRole、ClusterRoleBinding之间的关系
小末的博客
12-11 4378
Kubernetes学习之RBAC
Micky_Yang的博客
09-17 293
一、访问控制概述   API Server作为Kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,余下所有需要访问集群资源的组件,包括kube-controller-manager、kube-scheduler、kubelet和kube-proxy等集群基础组件、CoreDNS等集群的附加组件以及此前使用的kubelet命令等都要经由网关进行集群访问和管理。这些客户端均要经由API Server访问或改变集群状态并完成数据存储,并由它对每一次的访问请求进行合法性校验,包括用户身份鉴别、操作权
kubernetes权限RBAC之授权、鉴权、审计
weixin_50071922的博客
08-27 891
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录权限认证一、kubernetes权限RBAC二、验证权限的过程三、代码分析四、填充请求信息四、多集群路由转发和协议升级五、权限获取六、k8s集群资源转发总结 权限认证 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、kubernetes权限RBAC kuberne
kubernetes-dashboard 部署
06-08
Kubernetes Dashboard 是 Kubernetes 官方提供的一个 Web 界面,用于管理 Kubernetes 集群。以下是部署 Kubernetes Dashboard 的步骤: 1. 下载 Kubernetes Dashboard YAML 文件: ```bash curl -LO ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值