Kubernetes ---- RBAC授权管理

最新推荐文章于 2022-08-19 23:45:03 发布
最新推荐文章于 2022-08-19 23:45:03 发布
阅读量234 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaikai0720/article/details/107011936
版权

RBAC(授权插件)

RBAC基于角色访问控制: 

  许可: 对于任何一个被访问的对象(k8s组件),对于对象能施加的操作组合,将某些操作权限赋给角色,就完成了授权;
  角色: 可以让一个用户扮演一个角色,而这个角色拥有些权限,那么这个用户就拥有了这个角色的权限,权限授权给角色,与rolebinding工作在名称空间级别,授予名称空间范围内的许可权限的;
    operations: 允许角色做的操作,写进来就是说明允许,不能定义拒绝;
    subject: 对象,对哪些对象做哪些操作;
    rolebinding:
      将user account OR service account 绑定在哪个角色;
    clusterrole: 定义了角色允许的操作后, 与角色绑定的用户执行的操作位于集群,而不仅限于某个名称空间;
    clusterrolebinding: 将user account OR service account 绑定在哪个角色;

:
  user可通过rolebinding绑定clusterrole:
  所有操作依然是在名称空间范围内,当名称空间过多时,而且每个名称空间都需要一个管理员,直接定义一个clusterrole使用rolebinding就相当于每个用户都是在自己的名称空间中操作的,如果不用这种
  方法的话,有N个名称空间就要创建N个role,N个rolebinding;

创建角色:

$ kubectl create role --help
  Usage:
    kubectl create role NAME --verb=verb --resource=resource.group/subresource [--resource-name=resourcename] [--dry-run]
$ kubectl create role pod-reader --verb=get,list,watch --resource=pods --dry-run -o yaml > role-demo.yaml
$ vim role-demo.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-reader
  namespace: default
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch
$ kubectl get role 
NAME       AGE
pod-reader   39s

$ kubectl describe role pod-reader
....
PolicyRule:
Resources Non-Resource URLs Resource Names     Verbs
--------- ----------------- --------------     -----
pods     []          []           [get list watch]

 

rolebinding创建并绑定:

$ kubectl create rolebinding --help
  Usage:
    kubectl create rolebinding NAME --clusterrole=NAME|--role=NAME [--user=username] [--group=groupname]
    [--serviceaccount=namespace:serviceaccountname] [--dry-run] [options]
$ kubectl create rolebinding kfree-read-pods --role=pod-reader --user=kfree --dry-run -o yaml > rolebinding-demo.yaml
$ vim rolebinding-demo.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kfree-read-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pod-reader
subjects:
  - apiGroup: rbac.authorization.k8s.io
  kind: User
  name: kfree

$ kubectl config use-context kfree@kubernetes
# 发现之前创建的用户已经有了查看pods的权限;
$ kubectl get pods
NAME READY STATUS RESTARTS AGE
deploy-demo-854b57c687-4hbp4 1/1 Running 0 5h26m
deploy-demo-854b57c687-f7txr 1/1 Running 0 5h26m
deploy-demo-854b57c687-t9bbl 1/1 Running 0 5h26m

clusterrole创建并绑定:

$ kubectl create clusterrole --help
  Usage:
    kubectl create clusterrole NAME --verb=verb --resource=resource.group [--resource-name=resourcename] [--dry-run]
$ kubectl create clusterrole cluster-readers --verb=get,list,watch --resource=pods,deployment --dry-run -o yaml > clusterrole-demo.yaml
$ kubectl apply -f clusterrole-demo.yaml
$ kubectl get clusterrole
....
cluster-readers 
....

绑定:

$ kubectl create clusterrolebinding --help
  Usage:
    kubectl create clusterrolebinding NAME --clusterrole=NAME [--user=username] [--group=groupname]
    [--serviceaccount=namespace:serviceaccountname] [--dry-run] [options]
$ kubectl create clusterrolebinding kfree-read-all-pods --clusterrole=cluster-readers --user=kfree --dry-run -o yaml > clusterrolebinding-demo.yaml
$ kubectl apply -f clusterrolebinding-demo.yaml
$ kubectl config use-context kfree@kubernetes
# 绑定后发现所有名称空间的deployment与pods资源都可以查看(get,list,watch)
$ kubectl get pods && kubectl get pods -n kube-system
$ kubectl get deploy && kubectl get deploy -n kube-system
使用rolebinding绑定clusterrole:
$ kubectl delete clusterrolebinding kfree-read-all-pods
$ kubectl create rolebinding kfree-read-pods --clusterrole=cluster-readers --user=kfree --dry-run -o yaml > rolebinding-clusterrole-demo.yaml
$ kubectl apply -f rolebinding-clusterrole-demo.yaml
$ kubectl get rolebinding
NAME       AGE
kfree-read-pods 3m
$ kubectl config view
....    
current-context: kfree@kubernetes
....
$ kubectl get pods -n kube-system
Error from server (Forbidden): pods is forbidden: User "kfree" cannot list resource "pods" in API group "" in the namespace "kube-system"
$ kubectl get pods 
NAME READY STATUS RESTARTS AGE
deploy-demo-854b57c687-4hbp4 1/1 Running 1 18h
deploy-demo-854b57c687-f7txr 1/1 Running 1 18h
deploy-demo-854b57c687-t9bbl 1/1 Running 1 18h

 

 
K-free
关注
k8s之RBAC授权模式
weixin_37337210的博客
01-13 1091
导读 上一篇说了k8s的授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色的访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式)。 --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kube.
RBAC权限介绍
zl979899的博客
10-09 252
RBAC(Role-Based Access Control,基于角色的访问控制) 用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。 在这种模型中,用户与角色之间,角色与权限(功能)之间,一般都是多对多的关系。 简单权限关系表: 较复杂权限关系表: RBAC级别 1. RBAC0:RBAC核心模型,其他的级别都是建立在该级别的基础上。 2. RBAC1:基于RBAC1模型,进行了角色的分层,也...
RBAC权限概念
corleone_4ever的博客
01-31 876
一、RBAC基础 0. 前言 最近刚参与设计完角色权限的第二版,趁着还有些印象,赶紧来总结下,省的以后忘记了。 1. 什么是RBAC?   RBAC(Role-Based Access Control),基于角色的访问控制,就是用户通过角色与权限进行关联,通俗的说,就是一个用户有多个角色,每个角色又有多个权限,这样就构成了用户-角色-权限的一种模型。在这种模型中,用户与角色之间,角色与权限...
kubectl命令总结
柠是柠檬的檬的博客
08-19 3728
kubectl命令总结
带你玩转kubernetes-k8s(第39篇:深入分析集群安全机制二[RBAC授权模式])
坚持的道路注定孤独
08-12 543
RBAC授权模式详解 RBAC(Role-Based Access Control,基于角色的访问控制)在Kubernetes的1.5版本中引入,在1.6版本时升级为Beta版本,在1.8版本时升级为GA。作为Kubeadm安装方式的默认选项,足见其重要程度。相对于其他访问控制方式,新的RBAC具有如下优势。 对集群中的资源和非资源权限均有完整的覆盖。 整个RBAC完全由几个AP...
kubernetes-server-linux-amd64.tar.gz
最新发布
08-28
10. **安全配置**:确保所有组件都使用安全的配置,如启用TLS通信,限制API访问,以及使用RBAC(Role-Based Access Control)进行权限管理。 通过以上步骤,你就能在Linux AMD64平台上成功部署Kubernetes 1.25.10。...
kubernetes-starter:kubernetes入门,包括kubernetes概念,架构设计,部署环境构建,认证授权
02-03
Kubernetes支持多种身份验证和授权机制,包括基于证书、Token、Service Account等的认证,以及ABAC(基于属性的访问控制)、RBAC(角色基础的访问控制)等授权策略。了解这些机制有助于确保集群的安全运行。 在...
kubernetes-dashboard.zip
07-16
在生产环境中,强烈建议使用 RBAC(Role-Based Access Control)进行严格的权限管理。 总结来说,"kubernetes-dashboard.zip" 包含的 "kubernetes-dashboard.yaml" 文件用于在 Kubernetes 集群中部署 Dashboard,...
kubernetes-dashboard-amd64.tgz
03-29
这种文件通常包含私钥、证书或其他安全信息,用于 Kubernetes Dashboard 的身份验证和授权。 2. `manifest.json`:在 Kubernetes 中,manifest 文件是 YAML 或 JSON 格式的,用于定义要部署的资源,如 pod、service...
Kubernetes 安全权限管理深度剖析
liuzhen007的专栏
04-15 1461
Kubernetes 作为当下应用最普遍的容器集群管理工具,详细了解它的认证鉴权机制是非常有必要的。本文的主要内容就是增进大家对k8s的认证和鉴权模块的了解,其中包括kubernetes准入控制及RBAC的集群认证与鉴权机制。
k8s笔记八(kubernetes中认证、授权、准入控制)
dayi_123的博客
05-24 1万+
1、k8s中的访问控制 API server作为kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,而其他所有的组件及kubectl命令都要经由此网关进行集群的访问和管理。而各组件及客户端每一次的访问请求都要有api server进行合法性校验,包括身份鉴别、操作权限验证等。所有的检查通过之后才能访问或存入数据于后端的etcd中。客户端的认证操作是由api ser...
容器编排技术 -- Kubernetes kubectl create role 命令详解
YunWisdom
08-27 779
容器编排技术 -- Kubernetes kubectl create role 命令详解 1kubectl create role 2语法 3示例 4Flags kubectl create role 使用单一规则创建Role。 语法 $ role NAME --verb=verb --resource=resource.group/subresource [--r...
kubernetes认证授权
班婕妤
04-15 2308
访问控制 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及准入控制(Admission Control)等。 认证->授权->准入控制(adminationcontroller) 认证 在kubernetes中,在集群开启TLS后,客户端发往Kubernetes的所有API请求都需要进行认证, 以验证用户的合法性。 Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的us
Kubernetes RBAC权限问题
wenwst的专栏
12-25 7227
Kubernetes RBAC权限问题在配置Ingress出现以下问题,是由于RBAC配置引起。RBACKubernetes1.6开始引用。使用API版本也不同,因此,在配置yaml文件时需要注意。这里我们通过一个例子来解决RBAC的问题,当然,关于RBAC的概念在这里好像没有提及到。I0531 02:36:29.882636 7 launch.go:101] &{NGINX 0.9.
Kubectl常用命令(一)
变成习惯
02-28 1万+
Kubectl是一个用于操作kubernetes集群的命令行接口,通过利用kubectl的各种命令可以实现各种功能,是在使用kubernetes中非常常用的工具。 接下来我们会通过一些简单的实例来展现其中一些高频命令的使用方法,更为重要的是这些命令使用的场景以及能够解决什么样的问题。 环境构成 集群: 类型 主机名 IP Master master 192.168.30.128...
k8s 集群部署问题整理
热门推荐
kismile
09-09 7万+
1、hostname “master” could not be reached 在host中没有加解析 2、curl -sSL http://localhost:10248/healthz curl: (7) Failed connect to localhost:10248; 拒绝连接 在host中没有localhost的解析 3、Error starting daemon: SEL...
kubernetes用户授权
weixin_34401479的博客
02-22 567
2019独角兽企业重金招聘Python工程师标准>>> ...
RBAC新解:基于资源的权限管理(Resource-Based Access Control)
汪小哥
12-19 8691
什么是角色 当说到程序的权限管理时,人们往往想到角色这一概念。角色是代表一系列可执行的操作或责任的实体,用于限定你在软件系统中能做什么、不能做什么。用户帐号往往与角色相关联,因此,一个用户在软件系统中能做什么取决于与之关联的各个角色。 例如,一个用户以关联了”管理员”角色的帐号登录系统,那这个用户就可以做项目管理员能做的所有事情哦,管理员可以做啥,整个用户就可以得到所有的权限。基于角色的访问控制
jar k8s 自己的 部署_将你的应用部署在 K8S 上
weixin_39601511的博客
12-21 515
Kubernetes(简称 K8S)自发布以来,已经成为容器化编排的最佳工具,本文通过一个简单的案例聊一聊如何将一个容器部署到 k8s 集群上,文中所需的代码和容器均在 GITHUB 上。如需要搭建一个 k8s 集群,可以通过 minikube 来搭建,也可以使用 docker for desktop 自带的 k8s 集群1 创建一个最简单的 Deployment先简单介绍几个概念Pod: k8s...
rbac-tool:简化 Kubernetes RBAC 管理的可视化与策略工具
Kubernetes中,RBAC权限是通过rbac.authorization.k8s.io API组来驱动授权决策的。 权限在RBAC中是纯附加的,意味着系统中不存在“拒绝”规则。换句话说,用户获得的权限是基于角色的累积,直到达到一个总和。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值