k8s学习-基于角色的权限控制RBAC(概念,模版,创建,删除等)

已于 2022-10-30 10:58:48 修改
阅读量1.9k 收藏 8
点赞数 3
分类专栏: # 云原生安全 文章标签: kubernetes 学习 rbac
于 2022-09-04 17:18:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lady_killer9/article/details/126690526
版权

目录

概念

基于角色的访问控制(RBAC) 是一种基于企业内个人用户的角色来管理对计算机或网络资源的访问的方法。 在此上下文中,权限是单个用户执行特定任务的能力, 例如查看、创建或修改文件。
被启用之后,RBAC(基于角色的访问控制)使用 rbac.authorization.k8s.io API 组来驱动鉴权决策,从而允许管理员通过 Kubernetes API 动态配置权限策略。
要启用 RBAC,请使用 --authorization-mode = RBAC 启动 API 服务器。

查看k8s是否开启了RBAC

查看默认配置文件的授权配置即可

cat /etc/kubernetes/manifests/kube-apiserver.yaml | grep authorization

在这里插入图片描述

RBAC三要素

  • Subjects,也就是主体。可以是开发人员、集群管理员这样的自然人,也可以是- 系统组件进程,或者是 Pod 中的逻辑进程;在k8s中有以下三种类型:

    • User Account:用户,这是有外部独立服务进行管理的,管理员进行私钥的分配,用户可以使用 KeyStone或者 Goolge 帐号,甚至一个用户名和密码的文件列表也可以。对于用户的管理集群内部没有一个关联的资源对象,所以用户不能通过集群内部的 API 来进行管理

    • Group:组,这是用来关联多个账户的,集群中有一些默认创建的组,比如cluster-admin。

    • Service Account:服务帐号,通过Kubernetes API 来管理的一些用户帐号,和 namespace 进行关联的,适用于集群内部运行的应用程序,需要通过 API 来完成权限认证,所以在集群内部进行权限操作,都需要使用到 ServiceAccount,这也是本文的重点。

  • API Resource,也就是请求对应的访问目标。在 Kubernetes 集群中也就是各类资源,Pod,Deployment等;
  • Verbs,对应为请求对象资源可以进行哪些操作,包括但不限于"get", “list”, “watch”, “create”, “update”, “patch”, “delete”,"deletecollection"等。

RBAC四对象

Role:包含一组代表相关权限的规则。 这些权限是纯粹累加的(不存在拒绝某操作的规则)。
RoleBinding:将角色中定义的权限赋予一个或者一组用户。 它包含若干主体(用户、组或服务账户)的列表和对这些主体所获得的角色的引用。 RoleBinding 在指定的名字空间中执行授权。RoleBinding 也可以引用 ClusterRole
ClusterRole:包含一组代表相关权限的规则。 这些权限是纯粹累加的(不存在拒绝某操作的规则)。
ClusterRoleBinding:将角色中定义的权限赋予一个或者一组用户。 它包含若干 主体(用户、组或服务账户)的列表和对这些主体所获得的角色的引用。 ClusterRoleBinding 在集群范围执行授权。

资源resources

如果你不记得资源有哪些了,可以查看clusterrole admin的。例如,查看pod的资源。

kubectl get clusterrole admin -o yaml | grep pod

在这里插入图片描述

模版

Role

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

RoleBinding

下面的例子中的 RoleBinding 将 “pod-reader” Role 授予在 “default” 名字空间中的用户 “lady_killer9”。 这样,用户 “lady_killer9” 就具有了读取 “default” 名字空间中所有 Pod 的权限。

apiVersion: rbac.authorization.k8s.io/v1
# 此角色绑定允许 "lady_killer9" 读取 "default" 名字空间中的 Pod
# 你需要在该命名空间中有一个名为 “pod-reader” 的 Role
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
# 你可以指定不止一个“subject(主体)”
- kind: User
  name: lady_killer9 # "name" 是区分大小写的
  apiGroup: rbac.authorization.k8s.io
roleRef:
  # "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系
  kind: Role        # 此字段必须是 Role 或 ClusterRole
  name: pod-reader  # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配
  apiGroup: rbac.authorization.k8s.io

ClusterRole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: secret-reader
rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

ClusterRoleBinding

要跨整个集群完成访问权限的授予,你可以使用一个 ClusterRoleBinding。 下面的 ClusterRoleBinding 允许 “manager” 组内的所有用户访问任何名字空间中的 Secrets。

apiVersion: rbac.authorization.k8s.io/v1
# 此集群角色绑定允许 “manager” 组中的任何人访问任何名字空间中的 Secret 资源
kind: ClusterRoleBinding
metadata:
  name: read-secrets-global
subjects:
- kind: Group
  name: manager      # 'name' 是区分大小写的
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

实战

创建ServiceAccount

在名字为app-team1的namespace下创建一个名为cicd-token的serviceAccount
命令

kubectl create ns app-team1
kubectl create sa cicd-token -n app-team1

结果
在这里插入图片描述

创建ClusterRole

创建一个名为deployment-clusterrole的clusterrole,该clusterrole只允许创建Deployment、Daemonset、Statefulset的create操作。
将前面的模版改一下,deployment-clusterrole.yaml内容如下:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: deployment-clusterrole
rules:
- apiGroups: [""]
  resources: ["deployments","daemonsets","statefulsets"]
  verbs: ["create"]

命令

kubectl create -f deployment-clusterrole.yaml

结果
在这里插入图片描述

创建RoleBinding

创建一个RoleBinding,名为deployment-rolebinding,将上面的clusterrole绑定到serviceaccount上。
deployment-rolebinding.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: deployment-rolebinding
  namespace: app-team1
subjects:
- kind: ServiceAccount
  name: cicd-token
  namespace: app-team1
roleRef:
  # "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系
  kind: ClusterRole
  name: deployment-clusterrole
  apiGroup: rbac.authorization.k8s.io

命令

kubectl create -f deployment-rolebinding.yaml

结果
在这里插入图片描述

删除

删除使用delete即可,例如,删除前面创建的rolebinding和clusterrole
命令

kubectl delete rolebinding deployment-rolebinding -n app-team1
kubectl delete clusterrole deployment-clusterrole

结果
在这里插入图片描述

参考

k8s-鉴权概述
k8s-RBAC
阿里云-k8s安全之访问控制
更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记

lady_killer9
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
larvael框架rbac增删改查
nanlula的博客
11-03 628
一、角色列表 1.创建角色表、节点表、节点管理表 php artisan make:model Models/Role -m php artisan make:model Models/Node -m php artisan make:migration role_node role表 Schema::create('roles', function (Blueprint $table) { $table->bigIncrements('id'); $
K8sRBAC模型
s1056481432的博客
03-16 210
RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群中的身份有两种:用户(User)和服务账号(Service Account),其中service account是k8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa中的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。
k8s有多少集群角色
最新发布
weixin_42498643的博客
07-23 18
动一下小手点一下赞。谢谢! 你的赞就是我更新的动力。Kubernetes(简称K8s)是一个用于自动化部署、扩展和管理容器化应用程序的开源平台。它拥有丰富的角色和组件,这些角色和组件相互协作,共同构建和管理整个 Kubernetes 集群。在本文中,我们将介绍Kubernetes中的各个角色并教你如何获取集群中的角色信息。...
K8S创建角色,并授权
wangmiaoyan的博客
10-14 6378
K8S的认证授权是基于插件的,目前用得最多的是RBAC,也就是基于角色的访问控制 k8s中有角色角色绑定,因为K8S有两种资源,一种是集群资源,也就是cluster;一种是namespace资源;所以分别有role,rolebinding,clusterrole,clusterrolebinding.他们的区别在于作用域不同,cluster是针对整个集群资源的,而role则是限制在nam...
K8S云管理平台UMC角色权限体系
数通畅联
07-25 605
随着云计算技术的不断发展,在信息化建设模式中上云是大势所趋。UMC云管理平台可以对公司集成套件的云平台开发、部署、管理、运维进行统一管理,本篇文档主要介绍UMC中的预置角色及其对应功能权限。......
k8s集群管理角色——Master
Jian Sun_的博客
04-14 2310
每个k8s集群里需要一个Master节点来负责整个集群的管理和控制,通常要占据一个独立的服务器,从高可用角度考虑则建议使用3台服务器。 Master节点上运行着以下关键进程或服务: k8s API Server,提供了HTTP Rest接口的关键服务进程,是集群中所有资源增、删、改操作的唯一入口,也是控制集群的唯一入口。 k8s Controller Manager,是集群中所有资源对象的运...
ansible-role-k8s_manifests:Ansible角色-K8s清单
01-31
2. **Kubernetes API**:Ansible角色可能利用`k8s`模块与Kubernetes API进行交互,用于创建、更新、删除集群中的资源。例如,可以使用`k8s`模块的`create`, `patch`或`delete`操作来管理清单文件所代表的资源。 3. ...
ansible一键部署k8s1.16集群-二进制方式部署k8s集群,安装包和详细笔记
05-27
9. **安全与监控**:最后,别忘了对部署的k8s集群进行安全配置,例如设置RBAC权限、启用审计日志和监控解决方案(如Prometheus和Grafana),以确保生产环境的安全和稳定。 以上就是使用Ansible一键部署Kubernetes ...
K8sDefinitiveGuide-V5-Sourcecode.zip
08-30
在安全方面,K8s提供了Role-Based Access Control(RBAC)来控制用户对资源的访问。Role和ClusterRole定义了权限,RoleBinding和ClusterRoleBinding将角色分配给用户或服务账户。源代码可能包含示例配置,用于演示...
k8s学习中使用的_helm文件.zip
12-30
8. **安全性和权限**:Helm允许通过RBAC(Role-Based Access Control)来控制对Tiller的访问,确保只有授权的用户才能执行部署操作。此外,Helm 3移除了Tiller服务器,进一步提高了安全性,因为不再需要在集群中运行...
k8s-home-cluster
02-27
7. **安全与访问控制**:Kubernetes 提供 RBAC(Role-Based Access Control)进行权限管理,确保只有授权用户才能操作集群资源。此外,使用 TLS 证书加密通信是保证集群安全的重要步骤。 8. **持续集成/持续部署(C...
K8S 创建 RBAC
一直被模仿,从未被超越
03-14 930
RBAC基于角色的访问控制--全拼 Role-Based Access Control 一、创建 K8S 账号、 1、创建证书 # 创建私钥 openssl genrsa -out tom.key 2048 # 用此私钥创建一个csr(证书签名请求)文件 openssl req -new -key tom.key -subj "/CN=tom" -out tom.csr # 拿着私钥和请求文件生成证书 openssl x509 -req -in tom.csr -CA /etc/kubern.
Kubernetesk8s权限管理RBAC
驰兔的博客
03-13 965
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
K8s-Demo实现
Agnes-井朝
05-27 1987
简介 Kubernates的基础界面 常用的操作   将创建好的yaml文件通过Create按钮创建所需资源项目。 Dashbord:   可以通过Dashbord查看集群详情:cpu、memory、filesystemm、network等,同样也可以定制化符合自己需求的格式页面。 Demo   下面介绍如何通过kubenetes来部署一个tomcat。   1. 从d...
k8s集群基于角色权限访问——RBAC的使用
skh2015java的博客
09-18 850
RBAC(Role-Based Access Control,基于角色的访问控制)在Kubernetes v1.5中引入,是kubeadm安装方式下的默认选项。要使用RBAC授权模式,需要在API Server启动参数中加上--authorization-mode=RBACRBAC授权规则是通过四种资源进行配置的,它们可以分成两个组: Role角色)和ClusterRole(集群角色),它们指定了在资源上可以执行哪些操作。 RoleBinding(角色绑定)和Cl...
k8s之聚合ClusterRole
jiayu的博客
10-14 1890
k8s之聚合ClusterRole [root@k8s-master-1 kubectl]# cat aggregation.yaml # 创建一个聚合ClusterRole apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: aggregation-selector aggregationRule: clusterRoleSelectors: - matchLabels: rbac.
Kubernetesk8s权限管理RBAC详解
ss810540895的博客
02-09 1483
kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。启用RBAC,需要在 apiserver 中添加参数–authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6+版本都默认开启了RBAC。AlwaysDeny:表示拒绝所有请求,一般用于测试。:允许接收所有请求。
Kubernetes(K8S2020)从入门到实践(2)
02-17
Kubernetes,简称K8S,是一个开源,用于管理多个容器化的应用,提供了应用部署,规划,更新维护的一种机制。 学习要求: 本课程学习需要具有一定的Linux基础,并掌握Docker相关知识点。 知识讲解: 主要讲解K8S以下几个方面: 1.      K8S Pod相关知识 2.      K8S 控制器详解 3.      K8S 服务、Ingress和Metallb 4.      K8S的安全及用户管理 5.      K8S持久化存储 课件插图: 更多K8S课程: -  Kubernetes(k8s2020)从入门到实践(1) -  Kubernetes(k8s2020)从入门到实践(3)
XML-RBAC模型:基于Java的权限管理与访问控制
RBAC模型是一种有效的访问控制机制,通过角色中介,将用户与权限逻辑分离,简化权限管理,提高系统安全性。然而,传统的RBAC模型在会话中合并角色权限集的方式不适合异源异构系统的SSO环境,因为权限集不能在不同...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值