k8s中的RBAC鉴权将用户固定在某个namespace下

已于 2023-08-22 15:46:19 修改
阅读量160 收藏
点赞数 1
分类专栏: 容器 文章标签: kubernetes docker 容器 云原生
于 2023-08-22 15:33:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhuang0813/article/details/132428344
版权

一、背景示例

用户:zhangsan

ns: b2b-pro-uat

允许用户zhangsan只访问b2b-pro-uat的ns下的pod,以及deploy。

二、创建SA

[root@k8s-master05 tmp]# kubectl -n b2b-pro-uat create sa zhangsan
serviceaccount/zhangsan created

三、创建对应的Role

PS:若不了解各自resoureces对应的apiGroup可用kubectl api-resources -o wide 查询对应关系。例如deploy对应的apiGroups可进行以下查询:

[root@k8s-master05 tmp]# kubectl api-resources -o wide|grep deploy
deployments                       deploy       apps                           true         Deployment                       [create delete deletecollection get list patch update watch]
uniteddeployments                 ud           apps.kruise.io                 true         UnitedDeployment                 [delete deletecollection get list patch create update watch]

 第三列对应的就为apiGroups的值,此处为apps,所以yaml如下:

[root@k8s-master05 tmp]# cat zhangsan-role.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: zhangsan-role
  namespace: b2b-pro-uat 
rules:
- apiGroups: [""]
  resources: ["pods","pods/logs"]
  verbs: ["get","watch","list"]
- apiGroups: ["apps"]
  resources: ["deployments","replicasets"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

四、创建角色绑定

PS:此处在固定的ns下绑定权限,未涉及到整个集群全局权限,所以用Rolebinding即可

yaml如下:

[root@k8s-master05 tmp]# cat zhangsan-rolebinding.yaml 
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: zhangsan-rolebinding
  namespace: b2b-pro-uat
subjects:
- kind: ServiceAccount
  name: zhangsan 
  namespace: b2b-pro-uat
roleRef:
  kind: Role
  name: zhangsan-role
  apiGroup: rbac.authorization.k8s.io

 将role和sa绑定。

五、测试

此处未涉及到命令行,仅用k8s原生dashboard进行测试。

获取sa对应的token:

[root@k8s-master05 tmp]# kubectl -n b2b-pro-uat describe   secret zhangsan-token-lvbwb 
Name:         zhangsan-token-lvbwb
Namespace:    b2b-pro-uat
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: zhangsan
              kubernetes.io/service-account.uid: aca7c6ca-10f6-41dc-8207-8e70fd1f4c93

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IlZTSHUyeEFLcEM4bm9UOFBRWWhja3F6VXpiYy1RckJpa0ctRUt2anRuMG8ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJiMmItcHJvLXVhdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJ6aGFuZ3Nhbi10b2tlbi1sdmJ3YiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJ6aGFuZ3NhbiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImFjYTdjNmNhLTEwZjYtNDFkYy04MjA3LThlNzBmZDFmNGM5MyIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpiMmItcHJvLXVhdDp6aGFuZ3NhbiJ9.jC8sPAfUfdoIoaomR_K9PHxgvnK7CkASchsoq-OByW_dQngHm2FZfsL1_IC3isXinOAfH0g3F8O3IpGFkaLsP65XnfDGYd5GF5Rm8mtfSIp49joL-hDH0icntDrznhb-aeHJ2nE9U36gvqUACC9njv4dTbR8qI9_0uXMCmcniNVj-cgzqbGRsLmy7syjKwoQ067uEN5dJ80DyiOq7VXpR_u9-cj40RhvzaHKIFx9mRJ6o-xEBAYg2iOWkFb9DjP5VSYuWEiR0HH5G8zrA_TpWE0o4Wlz5aSMZzdnWMmfZAc0a5D1_8urj6_xp6N1fmOWstGCi5BtraFgWBW0hKt0JA

登录dashboard验证,因为没有赋予namespace相关权限,所以此处需要手动输入ns名称

 

半生痴狂半生颠
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
为K8S集群建立只读限帐号
01-18 536
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,包地址在此好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有限访问特定namespace下的pod 命令行kubectl访问 安装cfssl 此工具生成证书非常方便, pem证书与crt证书,编码一致可直接使用 wget https://pkg.cfs...
k8s: RBAC
weixin_50606361的博客
09-07 198
一个k8s集群可以有不同部门的容器,为了确保数据的安全,各部门的访问限应该受到限制。现在将linux用户与useraccount绑定实现该功能。
K8S RBAC
小五
05-07 1095
pods: Pod 是 Kubernetes 最小的可部署对象,代表集群的一个运行的应用程序实例。services: Service 定义了一组Pod的逻辑集合以及访问这些Pod的策略,通常用于创建应用程序的网络端点。nodes: Node 是 Kubernetes 集群的一个工作节点,可以是虚拟机或物理机器。namespaces: Namespace 是 Kubernetes 用于多租户的虚拟集群的一种方式。
Kubernetes K8S之RBAC详解
踏歌行的专栏
12-06 1816
Kubernetes K8S之概述与RBAC详解
【云原生 | Kubernetes 系列】RBAC
Q先生
08-20 684
基于角色(Role)的访问控制(RBAC)是一种基于组织用户的角色来调节控制对计算机或网络资源的访问的方法。RBAC 机制使用来驱动决定, 允许你通过 Kubernetes API 动态配置策略。要启用 RBAC,在启动时将参数设置为一个逗号分隔的列表并确保其包含RBAC
k8s之认证准入控制
fourierr的博客
04-29 808
k8s认证,Authentication,检查用户是否为合法用户。认证方式有很多,常用的是 X509 Client Certs(用于外部用户如kubectl)和Service Accout Tokens(用于pod进程),kubeconfig使用X509 Client Certs方式。 同时ServiceAccount Resource主要包含了三个内容:namespace、token和ca.crt,其namespace表示当前管理的命名空间;ca.crt用于校验服务端的的证书信息,即apiserve
K8S学习之用户认证及
CharlesYan的博客
12-17 1970
介绍基于角色访问控制(RBAC)的ServiceAccount创建流程
k8s rbac
SHELLCODE_8BIT的博客
03-10 1260
简单就如下所示,给谁分配什么限,这是大家经常在后台管理系统遇到的。
K8S基础-框架与用户限分配
wangshui898的专栏
12-07 1267
Kubernetes的安全框架 访问K8S集群的资源需要过三关:认证、、准入控制 普通用户若要安全访问集群API Server,往往需要证书、Token或者用户名+密码;Pod访问,需要ServiceAccount K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 访问API资源要经过以下三关才可以: Authentication() Authorization(授) Admission Control(准入控制)
在k8s部署prometheus的镜像
03-23
本文将详细介绍如何在k8s环境部署Prometheus的镜像。 一、Prometheus概述 Prometheus由Google的Brendan Burns等开发,后来成为Cloud Native Computing Foundation(CNCF)的毕业项目。它以灵活的数据模型、强大的...
K8S创建用户账号User Account并赋予
06-12
在Kubernetes(K8S)集群管理,为了实现安全的多租户环境和限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问限。本篇将详细介绍如何在K8S创建用户账号(User Account)以及如何为其赋予限...
在centos 7安装配置k8s集群的步骤详解
09-15
在CentOS 7搭建Kubernetes (k8s) 集群是一项复杂但至关重要的任务,特别是对于希望实现高效容器化应用管理的企业而言。Kubernetes是由Google开发的开源容器编排系统,它提供了强大的应用部署、管理和扩展功能,...
K8S用户限管理工具permission-manager-v1.6.0
12-13
在Kubernetes(K8S)集群环境限管理是至关重要的,它确保了资源的安全性和访问控制。"permission-manager-v1.6.0"是一个专为K8S设计的用户限管理工具,它帮助管理员更好地控制和管理用户对Kubernetes资源的...
kuboard版本通过k8s安装nacos2.0.4的yaml文件
03-17
在本文,我们将深入探讨如何使用Kuboard版本在Kubernetes (k8s) 集群安装Nacos 2.0.4。Nacos 是一个阿里巴巴开源的分布式服务治理和配置心,它提供了服务注册与发现、配置管理、元数据心等功能。Kuboard 则...
K8S 集群节点缩容
weixin_67050107的博客
06-30 868
k8s 节点缩容
k8s-第十一节-Job和CronJob
最新发布
lendq的Blog
07-05 547
Kubernetes jobs主要是针对短时和批量的工作负载。它是为了结束而运行的,而不是像deployment、replicasets、replication controllers和DaemonSets等其他对象那样持续运行。Kubernetes Jobs会一直运行到Job指定的任务完成。也就是说,如果pods给出退出代码0,那么Job就会退出。而在正常的Kubernetes,无论退出代码是什么,deployment对象在终止或出现错误时都会创建新的pod,以保持deployment的理想状态。
第一节-k8s架构图
lendq的Blog
07-04 374
k8s架构图
k8s-第五节-StatefulSet
lendq的Blog
07-04 396
是用来管理有状态的应用,例如数据库。前面我们部署的应用,都是不需要存储数据,不需要记住状态的,可以随意扩充副本,每个副本都是一样的,可替代的。而像**数据库、Redis **这类有状态的,则不能随意扩充副本。StatefulSet 会固定每个 Pod 的名字。
k8s rbac 在业务服务如何应用
05-12
在业务服务RBAC 可以应用于以下方面: 1. 对不同用户或团队进行授:通过创建不同的角色和角色绑定,可以对不同的用户或团队进行授,从而使其只能访问其需要的资源。 2. 对不同的命名空间进行授:通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半生痴狂半生颠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值