RBAC之基于用户授权案例

已于 2023-06-25 21:10:23 修改
阅读量94 收藏
点赞数
文章标签: java 数据库 算法
于 2023-06-25 21:09:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/loveyourelf/article/details/131386165
版权
本文详细介绍了如何在Kubernetes环境中使用cfssl工具生成客户端证书,创建kubeconfig文件以进行API服务器的授权访问,并通过定义Role和RoleBinding来实施RBAC授权策略,允许特定用户对资源进行GET、LIST和DELETE操作。
摘要由CSDN通过智能技术生成

    1.使用k8s ca签发客户端证
        1.1> 解压证书管理工具包
下载地址:
    https://github.com/cloudflare/cfssl/releases


[root@master231 cfssl]# tar xf oldboyedu-cfssl.tar.gz -C /usr/bin/  && chmod +x /usr/bin/cfssl*


        1.2> 编写证书请求
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF


cat > oldboyedu-csr.json <<EOF
{
  "CN": "oldboyedu",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "System"
    }
  ]
}
EOF


        1.3 生成证书
[root@master231 user]# cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes oldboyedu-csr.json | cfssljson -bare oldboyedu


[root@master231 user]# cfssl-certinfo -cert oldboyedu.pem  # 查看证书详细信息,可跳过

温馨提示:
    查看证书"cfssl-certinfo --cert oldboyedu.pem"。

    2.生成kubeconfig授权文件
        2.1 编写生成kubeconfig文件的脚本
cat > kubeconfig.sh <<'EOF'
# 配置集群
# --certificate-authority
#   指定K8s的ca根证书文件路径
# --embed-certs
#   如果设置为true,表示将根证书文件的内容写入到配置文件中,
#   如果设置为false,则只是引用配置文件,将kubeconfig
# --server
#   指定APIServer的地址。
# --kubeconfig
#   指定kubeconfig的配置文件名称
kubectl config set-cluster oldboyedu-linux86 \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=https://10.0.0.231:6443 \
  --kubeconfig=oldboyedu-linux86.kubeconfig
 
# 设置客户端认证
kubectl config set-credentials oldboyedu \
  --client-key=oldboyedu-key.pem \
  --client-certificate=oldboyedu.pem \
  --embed-certs=true \
  --kubeconfig=oldboyedu-linux86.kubeconfig

# 设置默认上下文
kubectl config set-context linux86 \
  --cluster=oldboyedu-linux86 \
  --user=oldboyedu \
  --kubeconfig=oldboyedu-linux86.kubeconfig

# 设置当前使用的上下文
kubectl config use-context linux86 --kubeconfig=oldboyedu-linux86.kubeconfig
EOF

        2.2生成kubeconfig文件
bash kubeconfig.sh

    3.创建RBAC授权策略
        3.1 创建rbac等配置文件
[root@master231 user]# cat rbac.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: linux-role-reader
rules:
  # API组,""表示核心组,该组包括但不限于"configmaps","nodes","pods","services"等资源.
  # 暂时这样理解:
  #    如果一个资源是apps/v1,则其组取"/"之前的,也就是apps.
  #    如果一个资源是v1,则默认为"/"。
  # 如果遇到不知道所述哪个组的也别着急,他会有报错提示,如下所示:
  #    User "oldboyedu" cannot list resource "deployments" in API group "apps" in the namespace "default"
  # 如上所示,表示的是"deployments"的核心组是"apps"。
- apiGroups: ["","apps"]  
  # 资源类型,不支持写简称,必须写全称哟!!
  # resources: ["pods","deployments"]  
  resources: ["pods","deployments","services"]  
  # 对资源的操作方法.
  # verbs: ["get", "list"]  
  verbs: ["get", "list","delete"]  
- apiGroups: ["","apps"]
  resources: ["configmaps","secrets","daemonsets"]
  verbs: ["get", "list"]  
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["delete"]  

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: oldboyedu-linux86-resources-reader
  namespace: default
subjects:
  # 主体类型
- kind: User  
  # 用户名
  name: oldboyedu  
  apiGroup: rbac.authorization.k8s.io
roleRef:
  # 角色类型
  kind: Role  
  # 绑定角色名称
  name: linux-role-reader
  apiGroup: rbac.authorization.k8s.io
[root@master231 user]# 


        3.2 应用rbac授权
[root@master231 user]# kubectl apply -f rbac.yaml 


        3.3 访问测试
[root@master231 user]# kubectl get pods --kubeconfig=oldboyedu-linux86.kubeconfig 
NAME                              READY   STATUS      RESTARTS   AGE
deploy-nginx-v1-b4b98cd7b-6fkk8   1/1     Running     0          7m31s
deploy-nginx-v1-b4b98cd7b-jsbz8   1/1     Running     0          7m31s
deploy-nginx-v1-b4b98cd7b-kqwqr   1/1     Running     0          7m31s
oldboyedu-cj-28124857-skh89       0/1     Completed   0          3m2s
oldboyedu-cj-28124858-6p6c6       0/1     Completed   0          2m2s
oldboyedu-cj-28124859-sxl8g       0/1     Completed   0          62s
oldboyedu-cj-28124860-6w5b9       0/1     Completed   0          2s
[root@master231 user]# 
[root@master231 user]# 
[root@master231 user]# kubectl delete pods --all --kubeconfig=oldboyedu-linux86.kubeconfig 
pod "deploy-nginx-v1-b4b98cd7b-6fkk8" deleted
pod "deploy-nginx-v1-b4b98cd7b-jsbz8" deleted
pod "deploy-nginx-v1-b4b98cd7b-kqwqr" deleted
pod "oldboyedu-cj-28124858-6p6c6" deleted
pod "oldboyedu-cj-28124859-sxl8g" deleted
pod "oldboyedu-cj-28124860-6w5b9" deleted
[root@master231 user]# 
[root@master231 user]# kubectl get deploy,ds --kubeconfig=oldboyedu-linux86.kubeconfig 
NAME                              READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/deploy-nginx-v1   3/3     3            3           10m
[root@master231 user]# 
[root@master231 user]# 
[root@master231 user]# 
[root@master231 user]# kubectl get deploy,ds,svc,cm --kubeconfig=oldboyedu-linux86.kubeconfig 
NAME                              READY   UP-TO-DATE   AVAILABLE   AGE
deployment.apps/deploy-nginx-v1   3/3     3            3           11m

NAME                          DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
daemonset.apps/oldboyedu-ds   2         2         2       2            2           <none>          25s

NAME                 TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)          AGE
service/deploy-v1    NodePort    10.200.16.210   <none>        8888:40000/TCP   11m
service/kubernetes   ClusterIP   10.200.0.1      <none>        443/TCP          17h

NAME                         DATA   AGE
configmap/kube-root-ca.crt   1      2d20h
configmap/nginx.conf         1      2d1h
[root@master231 user]# 

hcvc
关注
【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
如何使用RBAC授权和OPA来保护Kubernetes集群 Securing Kubernetes Clusters with RBAC Authorization
AI天才研究院
08-13 114
Kubernetes是一个开源容器集群管理系统,通过提供自动化部署、横向扩展和滚动更新等功能,能够方便地部署容器化应用。它具有强大的API,允许用户创建、配置和管理多个容器化应用,并提供丰富的工具和组件来简化部署流程。在生产环境中,为了确保应用的安全性,需要对集群进行保护,以防止恶意攻击或安全漏洞导致的应用损失。在Kubernetes集群中,可以使用基于角色的访问控制(RBAC)和开放策略代理(OPA)实现权限控制。本文将讨论如何使用RBAC授权和OPA来保护Kubernetes集群。
【Kubernetes运维篇】RBAC认证授权详解(一)
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限,RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
单点登录三:添加RBAC权限校验模型功能理解及实现demo
qq_35515283的博客
05-24 1694
结合前面我写的两篇帖子,这里学习了一下RBAC模型,并且整理了一个demo,能够实现一个简单的无侵入的登录及权限控制方案。这里用到springSecruity、jwt、redis、mysql、threadLocal等技术
RBAC 授权(前世今生)
weixin_44772835的博客
01-05 231
RBAC 授权(前世今生)
基于用户组织角色权限和资源的五要素
热门推荐
hb0746的专栏
03-30 1万+
一、简 介   在进行本单位办公自动化系统需求分析时创建了基于用户、组织的部门结构、实际工作角色、权限种类、资源树的五要素全排列需求分析方法,并进行了软件的功能需求分析,以及授权本身的管理,该方法是对五个关键要素的重新抽象;我把它命名为五要素全排列需求分析方法,该方法可以较好地避免需求分析时考虑不周全,较多地避免问题隐藏于目标软件中。 二、背景情况   目前烟草行业面临我国加入WTO后国外烟
Spring Security——认证授权的概念、Session, Token的认证区别、授权的数据模型、RBAC实现授权
Guizy
07-21 2762
目录 什么是认证 基于Session的认证方式 基于Token的认证方式 什么是授权 授权的数据模型 RBAC实现授权 一、什么是认证 跳转到目录 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证 相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证:用户认证就是判
RBAC-基于角色权限的模型
shxguozhq的博客
10-21 315
RBAC(Role-Based Access Control),即基于角色的权限控制。通过用户关联角色,角色关联权限的方式间接赋予用户权限。有人会问为什么不直接将权限赋值给用户,中间要增加角色这一环节?其实是可以直接为用户分配权限的,但是这样就少了一层关系,扩展性弱了很多,适合哪些用户数量、角色类型少的平台。一般的系统中,都会存在多个用户拥有相同权限的情况,在分配的时候,就需要分别给不同的用户指定权限,后续权限更新也是个麻烦事儿。
Go-RBAC-简单并发基于角色的访问控制GOlang
08-14
总之,"Go-RBAC-简单并发基于角色的访问控制GOlang"项目是一个结合了Go语言特性和RBAC安全模型的实践案例,对于理解如何在Go中构建高效、安全的并发系统具有很好的参考价值。通过学习该项目,开发者可以提升在Go语言...
H3CMSR路由器RBAC配置教程-Telnet用户授权
本文主要介绍了在H3CMSR系列路由器中如何进行基于角色的访问控制(RBAC)的典型配置,特别是在Telnet用户本地认证和授权方面的应用。RBAC是一种有效的网络安全策略,它允许管理员根据用户的角色来分配权限,从而限制...
授权的数据模型( RBAC
输入技术、输出想法
07-23 1408
Who,即主体(Subject),主体一般是指用户,也可以是程序,需要访问系统中的资源。 What,即资源 (Resource),如系统菜单、页面、按钮、代码方法、系统商品信息、系统订单信息等。系统菜单、页面、按 钮、代码方法都属于系统功能资源,对于web系统每个功能资源通常对应一个URL;系统商品信息、系统订单信息 都属于实体资源(数据资源),实体资源由资源类型和资源实例组成,比如商品信息为资源类型,商品编号 为001 的商品为资源实例。 How,权限/许可(Permission),规定了用户对资源的操作
RBAC 授权
qq_36270681的博客
12-07 719
1 上传文件 [root@k8s-master rbc]# ls rbac.zip [root@k8s-master rbc]# unzip rbac.zip Archive: rbac.zip creating: rbac/ inflating: rbac/cert.sh inflating: rbac/kubeconfig.sh inflating: rbac/rbac.yaml [root@k8s-master rbc]#.
关于RBAC模型
Yann_nnaY的博客
09-26 447
RBAC是什么? RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 RBAC介绍。 RBAC 认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作,也就是“主体”对“客体”的操作。 Who:是权限的
spring循环依赖解决方式
qq_36400213的博客
11-04 882
字段注入和setter注入则提供了更多的灵活性,但需要更谨慎地管理对象的状态。方法注入和注解注入则适用于特定的场景。在Spring框架中,依赖注入(Dependency Injection,DI)是一种实现控制反转(Inversion of Control,IoC)的机制,用于将对象的依赖关系自动注入到对象中。这种方式不如构造器注入严格,但比字段注入更灵活,因为它可以在不创建新实例的情况下改变对象的依赖。这种方式是推荐的,因为它可以保证对象在创建时就处于完全初始化的状态,并且可以使得bean不可变。
JAVA-01-变量
LJH_laura_li的博客
11-08 134
在方法、构造函数或块内部定义的变量。
2024年华为OD机试真题-查找充电设备-C++-OD统一考试(E卷)
面试高手的博客
11-08 20
某个充电站,可提供n个充电设备只,每个充电设备均有对应的输出功率任意个充电设备组合的输出功率总和,均构成功率集合P的1个元素功率集合P的最优元素,表示最接近充电站最大输出功率pmax 的元素。每一题都含有详细的解题思路和代码注释,精编c++、JAVA、Python三种语言解法。当充电设备输出功率50、20、20组合时,其输出功率总和为90,最接近充电站最大充电输出功率,因此最优元素为90。所有充电设备的输出功率组合,均大于充电站最大充电输出功率30,此时最优元素值为0。第 2 行为每个充电设备的输出功率。
JAVA学习接口案例实例
最新发布
shangan_3的博客
11-08 55
【代码】JAVA学习接口案例实例。
每日OJ题_牛客_相差不超过k的最多数_滑动窗口_C++_Java
参考书籍:《C语言程序设计》《数据结构》《C++ Primer》《Effective C++》《STL源码剖析》《现代操作系统》《UNIX环境高级编程》《图解TCP/IP》《图解HTTP》《Linux高性能服务器编程》《剑指Offer》《算法导论》
11-04 402
每日OJ题_牛客_相差不超过k的最多数_滑动窗口_C++_Java(排序容易想,但是滑动窗口不容易想到,核心思想:使用滑动窗口算法通过动态调整窗口的大小,遍历所有符合条件的连续子序列,求得最大连续子序列的长度。)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值