kubernetes-RBAC 鉴权

最新推荐文章于 2024-05-13 02:41:48 发布
最新推荐文章于 2024-05-13 02:41:48 发布
阅读量938 收藏 30
点赞数 27
分类专栏: Kubernetes学习 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/investor_/article/details/136923677
版权

kubernetes-RBAC 鉴权

kubernetes-RBAC 鉴权

1、查看整个k8s集群内部有哪些资源

[root@node-1 ~]# kubectl api-resources
NAME                              SHORTNAMES   APIVERSION                             NAMESPACED   KIND
bindings                                       v1                                     true         Binding
componentstatuses                 cs           v1                                     false        ComponentStatus
configmaps                        cm           v1                                     true         ConfigMap
endpoints                         ep           v1                                     true         Endpoints
events                            ev           v1                                     true         Event

2、什么是鉴权

鉴别权限 --》识别出某个主体(用户、组、服务账户)具有什么权限 —》鉴定权限

2.1、鉴权的目的

保障安全, 防止没有得到授权的用户访问我们的k8s资源,破坏k8s里的资源。

2.2、怎么去鉴权:RBAC

基于角色的访问控制(RBAC)是一种基于组织中各个用户的角色来调节对计算机或网络资源的访问的方法。

  • 什么样的用户,就有什么样的角色,什么样的角色有特点的权限

  • 用户 --》角色 --》权限–》资源对象

  • 目的:防止k8s里的pod(会运行程序)能随意获取整个集群里的信息和访问集群里的资源

2.3、对鉴权的理解🌱

  • 用户绑定一个角色—》演这个人—》这个角色有个权限—》比方说:省长

  • 省长有看读的权限—》角色规定了你能看和利用什么资源

3210fc67ef2a19d4723d872ae9fbf7a6

  • 大红薯,漂亮团等租户去阿里云的k8s服务器集群
  • 这个集群假设有1000台node机器
  • 不同的租户启动pod来管理自己的业务
  • 不同的租户创建一个不同的用户绑定到不同的k8s里的useraccount上

如何控制和隔离?

可以通过:

  • 命名空间
  • 鉴权: 控制不同的租户在k8s内部访问

不同租户启动pod去访问别人租户的pod里的业务—》安全性问题如何解决?

鉴权: RBAC:基于角色的访问控制

  • 给不同的租户创建不同的账号
  • pod使用这些账号
  • 不同的账号会绑定不同的角色
  • 不同的角色能访问不同的资源和动作

2.4、租户

  • 租别人东西的人 —》租阿里云/腾讯云/华为云的企业

ACK--->是阿里云提供的k8s服务

server: 服务器

  • 容器服务 Kubernetes 版 ACK --》自己在阿里云上购买 k8s服务,你会有自己的node节点服务器,master节点 是阿里云提供的。
  • 需要自己购买node节点服务器

serverless: 没有服务器

  • 不需要购买k8s的node节点服务器了,直接购买已经搭建好的k8s集群的容器就可以了
  • 只要将你的程序放到容器里直接运行就可以了,按时间和容器数量跟你计费

6cbb4d7b7488e3b6cd07eb66553d1a4

3、对一些概念的解释

3.1、概念简述

Rule:规则,一组属于不同 API Group 的操作集合;

Role:角色,用于定义一组对 Kubernetes API 对象操作的一组规则,范围限定在 namespace; --》省长

ClusterRole:集群角色,该角色不受 namespace 的限制; --》国家主席

Subject:对象,也就是规则作用的对象;

RoleBinding:将角色和对象进行绑定,范围限定在 namespace

ClusterRoleBinding:将集群角色和对象进行绑定,不受 namespace 限制

Serviceaccount: 服务账户–》pod–》apiserver

3.2、账号类型:Useraccount和ServiceAccount介绍

User Account :用于外部用户,代表了真实的人,通常通过用户名和密码或令牌进行身份验证。

Service Account: 用于集群内部的应用程序,代表了运行在Pod中的服务,通过自动生成的令牌进行身份验证。

在Kubernetes集群中,用户账户通过以下两种方式进行身份验证:

  1. **基本身份验证(Basic Authentication):**这是最简单的身份验证方式,用户通过提供用户名和密码来访问API服务器。这种方式在Kubernetes集群的早期版本中较为常见。
  2. **Bearer Tokens:**用户通过获取一个令牌(Token)来进行身份验证。这个令牌可以是一个访问令牌(Access Token),通常由OAuth服务器或类似的认证服务颁发。

用户账户通常与角色绑定(Role Binding)或集群角色绑定(Cluster Role Binding)结合使用,以便为用户分配特定的权限。这些权限定义了用户可以对集群中的资源执行哪些操作。

Service Account就像个通行证一样,有这个证件就可以实现很多事情

3.3、SA(Service Account)

SA(Service Account)---->植入到pod里,pod会以SA账号的身份去访问k8s集群内部的资源(api-server etcd ns pod等)

3.4、k8s集群中已经有很多role和clusterRole

[root@node-1 ~]# kubectl get roles -n kube-system
NAME                                             CREATED AT
extension-apiserver-authentication-reader        2024-03-03T03:15:09Z
kube-proxy                                       2024-03-03T03:15:11Z
kubeadm:kubelet-config-1.20                      2024-03-03T03:15:10Z
kubeadm:nodes-kubeadm-config                     2024-03-03T03:15:10Z
system::leader-locking-kube-controller-manager   2024-03-03T03:15:09Z
system::leader-locking-kube-scheduler            2024-03-03T03:15:09Z
system:controller:bootstrap-signer               2024-03-03T03:15:09Z
system:controller:cloud-provider                 2024-03-03T03:15:09Z
system:controller:token-cleaner                  2024-03-03T03:15:09Z
您在 /var/spool/mail/root 中有新邮件
[root@node-1 ~]# 

[root@node-1 ~]# kubectl get clusterrole
NAME                                                                   CREATED AT
admin                                                                  2024-03-03T03:15:09Z
calico-kube-controllers                                                2024-03-03T03:34:42Z
calico-node                                                            2024-03-03T03:34:42Z
cluster-admin                                                          2024-03-03T03:15:09Z
edit                                                                   2024-03-03T03:15:09Z
kubeadm:get-nodes                                                      2024-03-03T03:15:11Z
system:aggregate-to-admin                                              2024-03-03T03:15:09Z
system:aggregate-to-edit                                               2024-03-03T03:15:09Z
system:aggregate-to-view                                               2024-03-03T03:15:09Z

查看某个角色用能访问那些资源,能采取那些动作

[root@node-2 .kube]# kubectl describe roles kubeadm:kubelet-config-1.20 -n kube-system
Name:         kubeadm:kubelet-config-1.20
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources   Non-Resource URLs  Resource Names         Verbs
  ---------   -----------------  --------------         -----
  configmaps  []                 [kubelet-config-1.20]  [get]
[root@node-2 .kube]#

3.5、SA(ServiceAccount)使用案例介绍

1.创建sa

[root@master ~]# kubectl create sa sa-lihaihui
serviceaccount/sa-lihaihui created
[root@master ~]# 

[root@master ~]# kubectl get sa
NAME          SECRETS   AGE
default       1         18d
sa-lihaihui   1         47s
[root@master ~]#

2.创建pod

[root@master ~]# mkdir /RBAC
[root@master ~]# cd /RBAC/
[root@master RBAC]# ls
[root@master RBAC]# 
[root@master RBAC]# vim sa-pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: sa-lihaihui
  namespace: default
  labels:
    app: sa-lihaihui
spec:
  serviceAccountName: sa-lihaihui # pod use service accout
  containers:
  - name:  sa-nginx
    ports:
    - containerPort: 80
    image: nginx
    imagePullPolicy: IfNotPresent
[root@master RBAC]# 
[root@master RBAC]# kubectl apply -f sa-pod.yaml 
pod/sa-lihaihui created
[root@master RBAC]# kubectl get pod
NAME                               READY   STATUS    RESTARTS   AGE
sa-lihaihui                        1/1     Running   0          4s

3.因为pod 会去访问k8s集群的apiserver,所以需要进入到pod里

[root@master RBAC]# kubectl exec -it sa-lihaihui -- bash
root@sa-lihaihui:/# 

root@sa-lihaihui:/# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt	namespace  token
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount#

4.执行下面的命令去访问我们的apiserver

root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/namespaces/kube-system
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "namespaces \"kube-system\" is forbidden: User \"system:serviceaccount:default:sa-lihaihui\" cannot get resource \"namespaces\" in API group \"\" in the namespace \"kube-system\"",
  "reason": "Forbidden",
  "details": {
    "name": "kube-system",
    "kind": "namespaces"
  },
  "code": 403
}root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount#

403了—》没有权限访问其他命名空间

5.对sa授权

cluster-admin 这是一个权力非常大的clusterrole 集群角色

cluster-admin—》集群管理员

[root@master RBAC]# kubectl create clusterrolebinding sa-test-lihaihui  --clusterrole=cluster-admin  --serviceaccount=default:sa-lihaihui
clusterrolebinding.rbac.authorization.k8s.io/sa-test-lihaihui created
[root@master RBAC]#

查看是否绑定成功

[root@master RBAC]# kubectl get clusterrolebinding sa-test-lihaihui
NAME               ROLE                        AGE
sa-test-lihaihui   ClusterRole/cluster-admin   3m5s
[root@master RBAC]# 

[root@master RBAC]# kubectl get clusterrolebinding|grep lihaihui
sa-test-lihaihui                                       ClusterRole/cluster-admin                                                          5m47s
[root@master RBAC]#

6.再次请求,使用绑定好的集群角色

[root@master RBAC]# kubectl exec -it sa-lihaihui -- bash
root@sa-lihaihui:/# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount/
bash: root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount/: No such file or directory
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/namespaces/kube-system
{
  "kind": "Namespace",
  "apiVersion": "v1",
  "metadata": {
    "name": "kube-system",
    "uid": "d4855b44-8239-4180-84ea-243ea34d9006",
    "resourceVersion": "11",
    "creationTimestamp": "2024-03-03T03:15:08Z",
    "managedFields": [
      {
        "manager": "kube-apiserver",
        "operation": "Update",
        "apiVersion": "v1",
        "time": "2024-03-03T03:15:08Z",
        "fieldsType": "FieldsV1",
        "fieldsV1": {"f:status":{"f:phase":{}}}
      }
    ]
  },
  "spec": {
    "finalizers": [
      "kubernetes"
    ]
  },
  "status": {
    "phase": "Active"
  }
}root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount#

3.7、查看 cluster-admin 详细信息

[root@k8smaster sa]# kubectl describe  clusterroles cluster-admin
Name:         cluster-admin
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  *.*        []                 []              [*]
             [*]                []              [*]
[root@k8smaster sa]#

Resources 代表这个角色可以访问的资源 . 代表任意命名空间里的任意资源

Verbs : 可以采取的动作 : get list watch
verbs: [“get”,“list”,“watch”,“create”,“update”,“patch”,“delete”]

3.8、自己创建一个role

[root@master RBAC]# vim role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]  
  verbs: ["get", "watch", "list"]

[root@master RBAC]# kubectl apply -f role.yaml 
role.rbac.authorization.k8s.io/pod-reader created
[root@master RBAC]# kubectl get role
NAME         CREATED AT
pod-reader   2024-03-21T12:58:46Z
[root@master RBAC]#

sa绑定role

[root@master RBAC]# kubectl create rolebinding sa-test-lihaihui  --role=pod-reader --serviceaccount=default:sa-lihaihui
rolebinding.rbac.authorization.k8s.io/sa-test-lihaihui created
[root@master RBAC]#

查看已经绑定的rolebinding

[root@master RBAC]# kubectl get rolebinding
NAME               ROLE              AGE
sa-test-lihaihui   Role/pod-reader   37s
[root@master RBAC]#

创建一个clusterrole

[root@master RBAC]# vim clusterrole.yaml
[root@master RBAC]# cat clusterrole.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: secret-reader
rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
  resources: ["secrets"]  #具体的资源对象
  verbs: ["get", "watch", "list"]  #动作
[root@master RBAC]# kubectl apply -f clusterrole.yaml 
clusterrole.rbac.authorization.k8s.io/secret-reader created
[root@master RBAC]# kubectl get clusterrole|grep secret-reader
secret-reader                                                          2024-03-21T13:03:51Z
[root@master RBAC]#

将sa-lihaihui 绑定到secret-reader 的集群角色上

[root@master RBAC]# kubectl create clusterrolebinding sa-test-lihaihui-2  --clusterrole=secret-reader  --serviceaccount=default:sa-lihaihui
clusterrolebinding.rbac.authorization.k8s.io/sa-test-lihaihui-2 created
[root@master RBAC]# kubectl get clusterrolebinding|grep sa-test-lihaihui
sa-test-lihaihui                                       ClusterRole/cluster-admin                                                          37m
sa-test-lihaihui-2                                     ClusterRole/secret-reader                                                          2m27s
[root@master RBAC]#

验证:

启动–>就是进入sa-lihaihui启动的pod,去访问apiserver里的pod资源和secret资源

[root@master RBAC]# kubectl exec -it sa-lihaihui -- bash
root@sa-lihaihui:/# 
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# curl --cacert ./ca.crt  -H "Athorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/pods  

root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat .token)"  https://kubernetes/api/v1/secrets

3.9、整个绑定流程

image-20240321214803349

总结来说,这个流程描述了服务账号如何在Kubernetes集群中与资源对象交互,以及如何通过Role和ClusterRole来控制对这些资源的访问权限。通过RoleBinding和ClusterRoleBinding,服务账号被授予执行特定操作的权限,从而使得Pod中的应用程序能够安全地与Kubernetes集群的资源进行交互。

3.10、普通用户去访问的流程

  • 人–》k8s客户端(一般用:kubectl) ------>API Server

  • gaohui–》linux系统–》k8s的useraccount–>gaohui(k8s中的用户)–>k8s客户端(一般用:kubectl) ------>API Server

image-20240321220800233

3.11、实验一下普通用户去访问k8s里的资源对象

ssl认证:需要使用root用户去创建证书

1.生成一个证书—>保证安全性

(1)生成一个私钥
[root@master ~]# cd /etc/kubernetes/pki/
[root@master pki]# (umask 077; openssl genrsa -out gaohui.key 2048)

Generating RSA private key, 2048 bit long modulus
...........................+++
.........+++
e is 65537 (0x10001)
[root@master pki]# 
 
(2)生成一个证书请求--->'相当于找个第三方机构认证'
[root@master pki]# openssl req -new -key gaohui.key -out gaohui.csr -subj "/CN=gaohui"

(3)生成一个证书
[root@master pki]# openssl x509 -req -in gaohui.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out gaohui.crt -days 3650

Signature ok
subject=/CN=gaohui
Getting CA Private Key
[root@master pki]#

2.在kubeconfig下新增加一个gaohui这个用户

(1)把gaohui这个用户添加到kubernetes集群中,可以用来认证apiserver的连接
[root@master pki]# kubectl config set-credentials gaohui --client-certificate=./gaohui.crt --client-key=./gaohui.key --embed-certs=true 
(2)在kubeconfig下新增加一个gaohui这个账号,相当于在~/.kube/config添加miqiang用户
[root@master pki]# kubectl config set-context gaohui@kubernetes --cluster=kubernetes --user=gaohui
(3)切换账号到miqiang,默认没有任何权限
kubectl config use-context gaohui@kubernetes

切换过去之后,去访问node

[root@master pki]# kubectl get node
Error from server (Forbidden): nodes is forbidden: User "gaohui" cannot list resource "nodes" in API group "" at the cluster scope
[root@master pki]#

发现gaohui这个k8s里的用户不能访问api server

发现没有任何权限,然后使用下面的命令切换回去kubernetes-admin@kubernetes用户

这个是集群用户,有任何权限👆

kubectl config use-context kubernetes-admin@kubernetes

3.把gaohui 这个用户通过rolebinding绑定到clusterrole上,授予权限,权限只是在gaohui这个名称空间有效

(1)把gaohui这个用户通过rolebinding绑定到clusterrole上
kubectl create ns gaohui-test
kubectl create rolebinding gaohui -n gaohui-test --clusterrole=cluster-admin --user=gaohui
'或者用下边这个命令↓'
kubectl create rolebinding gaohui --namespace gaohui-test --clusterrole=cluster-admin --user=gaohui

(2)切换到gaohui这个用户
kubectl config use-context gaohui@kubernetes
(3)测试是否有权限
[root@master pki]# kubectl get pods -n gaohui-test
No resources found in gaohui-test namespace.
[root@master pki]# 
'成功了↑'
'有权限操作这个gaohui-test名称空间'

4.在linux操作系统里创建gaohui这个用户,可以用来登录k8s集群所在的linux系统

不同租户给与不同的linux系统账号,然后关联不同的k8s集群里的useraccout

添加一个gaohui的普通用户

[root@master pki]# useradd gaohui
cp -ar  /root/.kube/  /home/gaohui/
chown -R gaohui.gaohui /home/gaohui/

修改/home/gaohui/.kube/config文件,把kubernetes-admin相关的删除,只留gaohui用户

[root@master .kube]# cd /home/gaohui/.kube/
[root@master .kube]# ls
cache  config
[root@master .kube]#

'删除kubernetes-admin后相关的效果如下↓:'
[root@master .kube]# vim config 
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUM1ekNDQWMrZ0F3SUJBZ0lCQURBTkJna3Foa2lHOXcwQkFRc0ZBREFWTVJNd0VRWURWUVFERXdwcmRXSmwKY201bGRHVnpNQjRYRFRJME1ETXdNekF6TVRNek1Gb1hEVE0wTURNd01UQXpNVE16TUZvd0ZURVRNQkVHQTFVRQpBeE1LYTNWaVpYSnVaWFJsY3pDQ0FTSXdEUVlKS29aSWh2Y05BUUVCQlFBRGdnRVBBRENDQVFvQ2dnRUJBTHNpCmhWdjMzbnNvcW1LL1RJbWE1cnNxdExYVDFCcnZJeklGVEFFUEdRZExJVmYyYWZ0RTM3K21La0RUb29SNTRwQk8KY05oOFkrbzBwRDE4T09TUXowRE51cEpWK3hWOXNWY085WFE0K2FHdzcxL1FNMzRFQUdZZThYMnVEeHgrL29XdQpXaTVpMms3d01CUWNpUkNYV2xKWTVJdlBldE0xTW5ZRzNsYUhHNlozVVJMSE1XWVBZVGVqRnVKRnQxQ0JwNm9ZCmkvKzRnamZwUVc2Y2VHdVVBZFZ6Y2NuM05zTklRRlFiS1ZCeXRmZktENnFCZnZaellpVXhFVU5WemNnYW9DbWsKd0dqNDlhREtqd0JNSloyUVZ1SDZsR2xuMVBoYktjTnhWY0JaK2s5RUlqWnV4emNaZTVYejdOSG5mbGZzNm02SApUcElXdWJTSGVINkZKMUM3Z2pjQ0F3RUFBYU5DTUVBd0RnWURWUjBQQVFIL0JBUURBZ0trTUE4R0ExVWRFd0VCCi93UUZNQU1CQWY4d0hRWURWUjBPQkJZRUZLbExhdWp4NGsrYmxNZE8xalBHUHVaNEpxaHVNQTBHQ1NxR1NJYjMKRFFFQkN3VUFBNElCQVFCQzJQRjBIMDVTeUZFMERYNlpodTJSMlRJdDhZYlBZOG9SaU91a3Z5SzBJZWgyWkVwNgpnY0ppMG9SK2NyNjVWRU1IcWhJZy9mRi9LVUVpTS80YkZ5Q2ZWZXlzdjM1SVUvZmI0aFFkc0ZsNFRGdEtFQXFTCjBGQkV6YkRBUUF0bWpGUTR5UTZuZ3V0MGExTlNnTjJ1QXlmU2hYb1dmNHd0aWg4VkJ0aTFVdFBQYzliMEJYVVYKTEZydit3azhlSFA4RGJyd2tOWVFPSlZmc0RmSDNXejBhb1V1V1hSZnh0djFaY2hJck9HOU5nMzREdmRXVTJ2TQoxa1JoVmVYTW5kVU0rbEV5aFVnd3hoamlqNnhQZExwTEhhdG5uNHVVSXZGZ3ZTenpjdmFjR0tVcU1HTElVMHZqCjI2MGo3Y3pVY1h4dVR6YWxKZW9QeEFncTBCV2hHS2U4Mk9jaAotLS0tLUVORCBDRVJUSUZJQ0FURS0tLS0tCg==
    server: https://192.168.182.133:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: gaohui
  name: gaohui@kubernetes
current-context: gaohui@kubernetes
kind: Config
preferences: {}
users:
- name: gaohui
  user:
    client-certificate-data: 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
    client-key-data: LS0tLS1CRUdJTiBSU0EgUFJJVkFURSBLRVktLS0tLQpNSUlFb3dJQkFBS0NBUUVBbTZvMDF1N2RIYUdMa2MvQzhld2d5OUJTbTZtUzI1RjJEUWEzT052RloyWWdOOUhJCmNVUXhxZXVwV1VlcG5qcDM4UjFlcnd4WGpiaC9KVHV3cDFDbTE3TFk1Z05LeTVVNkswMDRvYXV5cVdDclNvOWQKMFRHd3o0WUJRWTNCTkFlUVJDWTFRZ3JlWitLM25haGxGeWx2VjdZaGsvZVNMRkl4QkM0clI0S2tWV0xpRUFNYgpaWndtUzl1YkhRZjBCUTgvYWUxTHMvMEd6d3NnVDhOTE14YU1NOExrYXJoMzlCbkhsVHRxcmFiRFNvWlp0bU5RCmFSd2hPemI1bExvdXNKankrZUx3R2N2UUFtQ3RsVlNFSXVvMWc4d0VzK01MSlAwb0xDSjEwZXgrdTRtemVUTEwKdHRmOHlzMzlPQ1BDNkJyTXlRUnc4OTduMlBScW5MQ2lHMU5LK1FJREFRQUJBb0lCQUQ4UDV6UWp0S1JxYTVaNApxcXREVTgzOTZWbHlpekkwYmJTOVFjRGhGOG5aejdlTlh6eXp1Y0x5MjdwMWs3dXNTQ2NBRlBtcGNGYlRwWDY1Ci9janFuWXpJd2FIOU4zSGVWS0J5T2owVXg5NWljVUpWYmxadllRZlJhL1RZcnFxYlhkQ2VBZmx0V2NpUVNuNnUKVjdYWWJXa0ZPZmt0MUtQcjhEdVhVS1U1d2NWdEZnWXFuQmtTSGJaRVBvM1k2UGxzSkVSMnZUNktQNVdqOXRLVAo4T1cxd1FSei9uYXJ1Q0ZBdzgrUjE5dlpEOWU3WUI4ZU80c2pIVTRVU2NvV1RET2NEYU9MZEhST1ZSVFZoZ0hSClQram5DRzdRcm9wTzdZWDhqK1dlZTJGeHVySFp1bU9Fa3VpbktGZnpMdGxXNjRpVmNkQUxHcnJVTU9Ubk1Tb0kKMUVlcFZIa0NnWUVBelI5aXM0RXhNU3Y0blREVFhNTE5nZG1NaGpUbGd1QU9XbSs0TFExcnRzZ1oraFpaeGZ3SwpzVXM4K2p0d0lueG1hVzVEMVZFd2hoNnUzckJWdWVQZElWZFhtVGZSc0FIL0tadDNQWXRPMWUrdk8rRFdaMiswCmxqRWJST2N4cVVvMHVNUDladXlGUEt0bzMvUVNTbjNBMklIVllOOG1EUjFUaCtXMjYwMFdYdGNDZ1lFQXdrWnEKcUdIY1RiR29YQWVPU3planZ5T3piVlhVQk5UU3BzT21RL3lIQ08xV1k0R1NHWDlVaFJNVFNvazY1Sm55NUVnMwpTbWdQVVBpSUd6ZGtPTmgwdzJNK0VTSXF5UTVxQXdjZWlXUWxxd0JPYU14Skl0eEdrTmRQVGhOWjdhL3N5SmhVCm9WbkhianNEeDBXWURDMVRnbWluRk01bkE2VFFjTEdZWFJJYWVxOENnWUJ5ckI4anR3L25LMnZiaE5aRXYycmcKTXR6S2tudlVoS25CaVQ5dmdGYzlZZlNUeVRiNjVnS2NSekdadXV6ZmVxaE9QS1NUZHNZbjFMTnlMeVpkdTdOOQoxalJVcGM0R0ZiZXViUWxtVUtFTUhPamNFc0FLSjNyUGxEaG9kczlla3V1U2Q0OE1vU0dEWDFoTUMwakdlREw5ClZ1Z1JOZTh4MmJrKytmOGU0SU9uRlFLQmdBeG41TDIxNmhTSUNNRS90a1YxV3g2RWtCdW1SSEMraW1rZHkwdEMKSC9sZzlvaEtLT001NzFMRUloSTdheWhYOEZ2RmhNcGFsTWZONXhzZDBXZVQ0dmpyS0haOW9RL1B2Tk5PckJPSAo4cVBWMUN2N0I1eVRSbXBQWllBTjJrdEVWYkdGa0xudytydytSb0orSGpTQTNIbFNaNEQ3b1RacFd1b25YUnhzCllJWi9Bb0dCQUpqS0wzblUvaHh5Zmk5SzJuWTJHQXBiUGtLZTRjclFNL010WkJPVytLSENndE9sbjZiWTcrTEkKbEtNQ3E3VGdqc1FOTENNUTVaaEFQYXh2bFpKNk5jT2JaNDhvOGY1cHdrQmVKblprRUkybU9NQlIyemdweXdCLwpqMnlCMUVxeW1mSmFrSjV2QjVEWGxvNklEYktjeEh2UG5jZVB1eVlyWWFZU1piejUvL3M3Ci0tLS0tRU5EIFJTQSBQUklWQVRFIEtFWS0tLS0tCg==
[root@master .kube]#

5.再次使用gaohui登录linux系统

[root@master .kube]# su - gaohui
[gaohui@master ~]$ kubectl get pods #不可以访问default命名空间
Error from server (Forbidden): pods is forbidden: User "gaohui" cannot list resource "pods" in API group "" in the namespace "default"
[gaohui@master ~]$ 

[gaohui@master ~]$ kubectl get pods -n gaohui-test  #可以访问gaohui-test命名空间
No resources found in gaohui-test namespace.
[gaohui@master ~]$ 


退出gaohui用户返回到root用户,需要在把集群环境切换成管理员权限
[gaohui@master ~]$ exit
[root@master .kube]# kubectl config use-context kubernetes-admin@kubernetes   #把集群环境切换成管理员权限
Switched to context "kubernetes-admin@kubernestes".
[root@master .kube]# kubectl get pod
NAME                   READY   STATUS    RESTARTS   AGE
configmap-demo-pod     1/1     Running   11         2d5h
configmap-nginx        1/1     Running   1          2d5h
nginx                  1/1     Running   1          2d5h
nginx-configmap-test   1/1     Running   1          2d4h
sa-lihaihui            1/1     Running   0          172m
sc-pv-pod-nfs          0/1     Error     0          2d6h
task-pv-pvc-pod        1/1     Running   1          2d11h
test-pd                1/1     Running   1          2d13h
test-pd-2              1/1     Running   1          2d13h
[root@master .kube]#
不冤不乐
关注
  • 27
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubernetes-rbac-audit:Kubernetes中用于审计RBAC的工具
05-02
广泛的角色检查 ExtensiveRoleCheck是一个Python工具,可扫描Kubernetes RBAC中的危险角色。 该工具是“ Kubernetes Pentest方法论”博客文章系列的一部分。 usage: ExtensiveRoleCheck.py [-h] [--clusterRole CLUSTERROLE] [--role ROLE] [--rolebindings ROLEBINDINGS] [--cluseterolebindings CLUSETEROLEBINDINGS] 概述 状态:Alpha RBAC API是一组角色,管理员可以配置这些角色来限制对Kubernetes资源的访问。 ExtensiveRoleCheck使搜索过程自动化,并
访问管理器:Kubernetes-Operator简化RBAC配置
02-07
访问管理器 Access-Manager是Kubernetes-Operator,使用来简化集群中的复杂配置并在名称空间之间传播秘密。 动机 在基于名称空间的基础上管理许多不同的RBAC-Roles时,出现了这个想法。 随着时间的推移,这变得越来越复杂,管理员始终必须确保将正确的角色应用于多个名称空间中的不同人员或ServiceAccounts。 操作员的范围仅限于RoleBinding和ClusterRoleBinding的创建和删除。 因此,所有引用的Role和ClusterRole都必须存在。 让它自动化。 Kubernetes兼容性 该图像包含k8s.io/client-go版本。 Kubernetes旨在在客户端和服务器之间提供一个次要版本的向前和向后兼容性: 访问管理器 k8s.io/client-go k8s.io/apimachinery 预期的kubernetes
k8s学习-基于角色的权限控制RBAC(概念,模版,创建,删除等)_kubectl delete role &lt;&gt; -n bigdata-project(1)
最新发布
2401_84545046的博客
05-13 656
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
kubernetes-dashboard.yaml
08-11
# Copyright 2017 The Kubernetes Authors. # # Licensed under the Apache License, Version 2.0 (the "License"); # you may not use this file except in compliance with the License. # You may obtain a copy of the License at # # http://www.apache.org/licenses/LICENSE-2.0 # # Unless required by applicable law or agreed to in writing, software # distributed under the License is distributed on an "AS IS" BASIS, # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. # See the License for the specific language governing permissions and # limitations under the License. # ------------------- Dashboard Secret ------------------- # apiVersion: v1 kind: Secret metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard-certs namespace: kube-system type: Opaque --- # ------------------- Dashboard Service Account ------------------- # apiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard namespace: kube-system --- # ------------------- Dashboard Role & Role Binding ------------------- # kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: name: kubernetes-dashboard-minimal namespace: kube-system rules: # Allow Dashboard to create 'kubernetes-dashboard-key-holder' secret. - apiGroups: [""] resources: ["secrets"] verbs: ["create"] # Allow Dashboard to create 'kubernetes-dashboard-settings' config map. - apiGroups: [""] resources: ["configmaps"] verbs: ["create"] # Allow Dashboard to get, update and delete Dashboard exclusive secrets. - apiGroups: [""] resources: ["secrets"] resourceNames: ["kubernetes-dashboard-key-holder", "kubernetes-dashboard-certs"] verbs: ["get", "update", "delete"] # Allow Dashboard to get and update 'kubernetes-dashboard-settings' config map. - apiGroups: [""] resources: ["configmaps"] resourceNames: ["kubernetes-dashboard-settings"] verbs: ["get", "update"] # Allow Dashboard to get metrics from heapster. - apiGroups: [""] resources: ["services"] resourceNames: ["heapster"] verbs: ["proxy"] - apiGroups: [""] resources: ["services/proxy"] resourceNames: ["heapster", "http:heapster:", "https:heapster:"] verbs: ["get"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: kubernetes-dashboard-minimal namespace: kube-system roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: kubernetes-dashboard-minimal subjects: - kind: ServiceAccount name: kubernetes-dashboard namespace: kube-system --- # ------------------- Dashboard Deployment ------------------- # kind: Deployment apiVersion: apps/v1 metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard namespace: kube-system spec: replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: k8s-app: kubernetes-dashboard template: metadata: labels: k8s-app: kubernetes-dashboard spec: containers: - name: kubernetes-dashboard image: k8s.gcr.io/kubernetes-dashboard-amd64:v1.10.1 imagePullPolicy: IfNotPresent ports: - containerPort: 8443 protocol: TCP args: - --auto-generate-certificates # Uncomment the following line to manually specify Kubernetes API server Host # If not specified, Dashboard will attempt to auto discover the API server and connect # to it. Uncomment only if the default does not work. #- --apiserver-host=http://192.168.140.129:8080 volumeMounts: - name: kubernetes-dashboard-certs mountPath: /certs # Create on-disk volume to store exec logs - mountPath: /tmp name: tmp-volume livenessProbe: httpGet: scheme: HTTPS path: / port: 8443 initialDelaySeconds: 30 timeoutSeconds: 30 volumes: - name: kubernetes-dashboard-certs secret: secretName: kubernetes-dashboard-certs - name: tmp-volume emptyDir: {} serviceAccountName: kubernetes-dashboard # Comment the following tolerations if Dashboard must not be deployed on master tolerations: - key: node-role.kubernetes.io/master effect: NoSchedule --- # ------------------- Dashboard Service ------------------- # kind: Service apiVersion: v1 metadata: labels: k8s-app: kubernetes-dashboard name: kubernetes-dashboard namespace: kube-system spec: type: NodePort ports: - port: 443 targetPort: 8443 selector: k8s-app: kubernetes-dashboard
kubernetes-model-rbac-5.8.0.jar中文-英文对照文档.zip
03-09
注:下文中的 *** 代表文件名中的组件名称。 # 包含: 中文-英文对照文档:【***-javadoc-API文档-中文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【***.jar Maven依赖信息(可用于项目pom.xml).txt】 Gradle依赖:【***.jar Gradle依赖信息(可用于项目build.gradle).txt】 源代码下载地址:【***-sources.jar下载地址(官方地址+国内镜像地址).txt】 # 本文件关键字: 中文-英文对照文档,中英对照文档,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压 【***.jar中文文档.zip】,再解压其中的 【***-javadoc-API文档-中文(简体)版.zip】,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·本文档为双语同时展示,一行原文、一行译文,可逐行对照,避免了原文/译文来回切换的麻烦; ·有原文可参照,不再担心翻译偏差误导; ·边学技术、边学英语。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
kubernetes权限RBAC之授权、鉴权、审计
weixin_50071922的博客
08-27 884
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录权限认证一、kubernetes权限RBAC二、验证权限的过程三、代码分析四、填充请求信息四、多集群路由转发和协议升级五、权限获取六、k8s集群资源转发总结 权限认证 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、kubernetes权限RBAC kuberne
Kubernetes运维篇】RBAC认证授权详解(一)
热门推荐
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限,RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
云原生 | Kubernetes 系列】RBAC 鉴权
Q先生
08-20 667
基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。RBAC 鉴权机制使用来驱动鉴权决定, 允许你通过 Kubernetes API 动态配置策略。要启用 RBAC,在启动时将参数设置为一个逗号分隔的列表并确保其中包含RBAC
Kubernetes(k8s)权限管理RBAC详解
匠人精神,持之以恒!
10-16 8049
文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制(以ServiceAccount展开讲解)1)介绍2)Role和ClusterRole3)RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1)User1、创建K8S 用户2、对用户授权2)Group1、创建K8S 用户和用户组2、对组授权3)ServiceAccount4)为ServiceAccount生成Tok
k8s - 安全认证(RBAC
栋院
03-18 2935
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 499
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC
kubernetes-learning.pdf
06-04
RBAC 部署Wordpress示例 DaemonSet 和 StatefulSet 持久化存储: PV PVC StorageClass 服务发现 kubedns ingress 安装配置 ingress tls 和 path 的使⽤ 包管理⼯具 Helm Helm 的安装使⽤ Helm 的基本使⽤ Helm 模板之...
SpringSecurity实现RBAC权限验证
weixin_45881125的博客
03-20 1690
基于角色的访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限。RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
基于RBAC改进的用户权限管理和鉴权设计思路1
Mccson的博客
06-15 458
在分布式微服务系统中,
RBAC鉴权
qq_36694590的博客
04-22 114
SserviceAccount(sa):k8s内部的资源,是存在于某个命名空间之中的,在不同的命名空间中的同名ServiceAccount被认为是不同的资源。user:(不常用)k8s不会管理user,独立在k8s之外,也就是user可以作用于全局,任何命名空间都可被认知。ClusterRoleBinding:绑定全局资源,在集群范围执行授权,绑定之后全局生效。RoleBingding:绑定局部资源,在指定命名空间中执行授权,需要指定命名空间。ClusterRole:授权所有命名空间的访问权限,全局资源。
RBAC鉴权实验操作
yuer1228的博客
08-27 196
kind: Rolemetadata:rules:- apiGroups: [""] # "" 标明 core API 组以上就是使用RBAC将角色和对应的权限绑定的实验操作。
如何使用RBAC进行鉴权
weixin_45578634的博客
12-20 476
如何使用RBAC进行鉴权
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1013
在K8s上的RBAC设计和实现方式说明
K8S的集群安全机制RBAC、性能监控平台、Helm的操作
互联网知识分享
08-17 240
集群中进行性能监控是非常重要的,可以帮助我们实时了解集群的健康状况,并进行故障排查和性能优化。与角色绑定不同的是,集群角色绑定是在整个集群范围内进行授权。一个角色绑定可以将一个或多个角色绑定到一个用户或用户组。还提供了丰富的命令和功能,如依赖管理、版本控制等,可以根据实际需求进行使用。提供了强大的告警功能,可以根据指标的阈值或条件触发告警。的一个包管理工具,可以简化应用程序的部署和管理过程。)分配给用户或用户组,来管理集群中的资源访问权限。),该压缩文件可以在不同的环境中进行部署。
kubernetes-dashboard 部署
06-08
Kubernetes Dashboard 是 Kubernetes 官方提供的一个 Web 界面,用于管理 Kubernetes 集群。以下是部署 Kubernetes Dashboard 的步骤: 1. 下载 Kubernetes Dashboard YAML 文件: ```bash curl -LO ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不冤不乐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值