CKS认证-RBAC授权

已于 2024-08-07 20:48:40 修改
阅读量645 收藏 10
点赞数 20
分类专栏: CKS认证考试 文章标签: kubernetes docker 容器
于 2024-08-05 10:44:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46913617/article/details/140920920
版权

6.RBAC授权

问题

:::success
Context
:::
绑定到 Pod 的 ServiceAccount的 Role 授予过度宽松的权限。 完成以下项目以减少权限集。
:::success
Task
:::
一个名为 dev-pod 的现有 Pod 已在namespace monitoring 中运行。
编辑绑定到 Pod的 ServiceAccount service-account-web 的现有 Role,仅允许只对pods 类型的资源执行 get 操作。
在 namespace monitoring 中创建一个名为role-20,并仅允许只对 statefulsets 类型的资源执行 update 操作的新 Role。
创建一个名为 role-2-binding 的新RoleBinding,将新创建的 Role 绑定到 Pod 的ServiceAccount.

请勿删除现有的 RoleBinding

使用 RBAC 鉴权

正确答案:

先解决第一问:
编辑绑定到 Pod的 ServiceAccount service-account-web 的现有 Role,仅允许只对pods 类型的资源执行 get 操作
先要想到“编辑pod绑定的service的role”这一步你要先去查看pod绑定的是哪个serviceaccount

root@hk8s-master01:~# kubectl -n monitoring get pod  dev-pod -o yaml | grep service
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
  serviceAccount: service-account-web  ##看这个serviceaccount用的是哪个,接下来就操作哪个
  serviceAccountName: service-account-web
      - serviceAccountToken:

再查看serviceaccount

root@hk8s-master01:~# kubectl get serviceaccounts -n monitoring 
NAME                  SECRETS   AGE
default               0         393d
service-account-web   0         393d   ##是这个serviceaccount
test-sa-3             0         393d

注意:这里还可以加一步查看rolebinding以确定serviceaccount绑定的是哪个role

root@hk8s-master01:~# kubectl get rolebindings.rbac.authorization.k8s.io -n monitoring pod-get -oyaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  creationTimestamp: "2023-02-22T07:54:53Z"
  name: pod-get 
  namespace: monitoring
  resourceVersion: "10361"
  uid: debb7d6f-7172-4f6e-89fd-7522d3610996
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role   #
  name: web-role   ##
subjects:
- kind: ServiceAccount  #这里的serviceaccount绑定的role是web-role,所以修改时候只修改web-role即可。
  name: service-account-web   ## 
  namespace: monitoring

接下来我们就需要编辑这个role规则,使其只对pod有get权限。那么这一步就做完了。

root@hk8s-master01:~# kubectl edit role -n monitoring 
Edit cancelled, no changes made.
  1 # Please edit the object below. Lines beginning with a '#' will be ignored,
  2 # and an empty file will abort the edit. If an error occurs while saving this file will be
  3 # reopened with the relevant failures.
  4 #
  5 apiVersion: rbac.authorization.k8s.io/v1
  6 kind: Role
  7 metadata:
  8   creationTimestamp: "2023-02-22T07:54:37Z"
  9   name: web-role
 10   namespace: monitoring
 11   resourceVersion: "10337"
 12   uid: 5b1f83da-ca57-4056-8c6a-d8cd5997b5ed
 13 rules:
 14 - apiGroups:  ##这个是apigroup组,就是你用explain执行出来的GROUP的值。
 15   - ""
 16   resources:  ##resources:可以定义serviceaccount、pod、cluster、控制器这些内容,是啥意思我也不知道
 17   - pods
 18   verbs:
 19   - get
 20   - watch   ##需要把这两个删除掉 watch和list,然后wq保存即可。
 21   - list
root@hk8s-master01:~# kubectl explain statefulset 
GROUP:      apps   ##apiGroups填这的内容
KIND:       StatefulSet
VERSION:    v1

root@hk8s-master01:~# kubectl describe  role web-role   -n monitoring 
Name:         web-role
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  pods       []                 []              [get]

再解决第二问:
在 namespace monitoring 中创建一个名为role-20,并仅允许只对 statefulsets 类型的资源执行 update 操作的新 Role

注意:
** 7 rules:**
** 8 - apiGroups: **
** 9 - “app”**
这段配置中为什么要定义app这个组呢?
因为当你设置成 " " 时,他表示的是core组,里面没有statefulset这个资源。这个资源是在apps这个组下面。所以需要定义app
image.png

让自己创建一个role-20的role,那我们就直接复制第一个role
root@hk8s-master01:~# cp 6-1.yaml  6-2.yaml
root@hk8s-master01:~# vim 6-2.yaml 
  1 apiVersion: rbac.authorization.k8s.io/v1
  2 kind: Role
  3 metadata:
  4   creationTimestamp: "2023-02-22T07:54:37Z"
  5   name: role-20
  6   namespace: monitoring
  7 rules:
  8 - apiGroups:   ##一定要注意这个位置,需要写上,具体为什么还没弄懂。
  9   - "apps"
 10   resources:   ##这里可以定义控制器
 11   - statefulsets
 12   verbs:
 13   - update 
 14 #  - get
 15 #  - watch
 16 #  - list
root@hk8s-master01:~# kubectl apply -f 6-2.yaml


root@hk8s-master01:~# kubectl get role -n monitoring   
NAME       CREATED AT
role-20     2024-03-22T02:28:28Z
web-role   2023-02-22T07:54:37Z

最后解决第三问:
创建一个名为 role-2-binding 的新RoleBinding,将新创建的 Role 绑定到 Pod 的ServiceAccount.
:::info
注意:
当你查官网的时候,是给了这么一个示例,但是你自己一定要新增subjects.namespace:这个字段。因为你的serviceaccount是在monitoring这个名称空间中的。如果不定义,否则是找不到你的serviceaccount的。
:::
官网rolebinding示例

创建角色绑定,并绑定。看到创建2字,你就要自己编辑yaml文件
root@hk8s-master01:~# vim 6-3.yaml 
  1 apiVersion: rbac.authorization.k8s.io/v1
  2 kind: RoleBinding
  3 metadata:
  4   name: role-2-binding
  5   namespace: monitoring
  6 subjects:
  7 - kind: ServiceAccount
  8   name: service-account-web
  9   namespace: monitoring
 10 #  apiGroup: rbac.authorization.k8s.io
 11 roleRef:
 12   kind: Role
 13   name: web-role
 14   apiGroup: "rbac.authorization.k8s.io"
 15 #  apiGroup: rbac.authorization.k8s.io

第二种方法实现:
直接可以用命令实现

root@hk8s-master01:~# kubectl create rolebinding role-2-binding --role=role-20 --serviceaccount=monitoring:service-account-web  -n monitoring

狗哥运维
关注
  • 20
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS - Practise - RBAC adn Kubesec.docx
04-29
CKS(Certified Kubernetes Security Specialist)练习涉及到对RBAC和Kubesec工具的使用,来增强Pod的安全配置。 首先,`kubesec`工具是用来扫描Pod定义模板,以检查其是否符合Kubernetes的安全最佳实践。在例子中...
CKS教程-KubernetesK8s、CKS 认证实战班(安全专家)
02-15
CKS,全称为Certified Kubernetes Security Specialist,是CNCF(Cloud Native Computing Foundation)认证的安全专家课程,主要针对Kubernetes(K8s)平台的安全管理、配置和最佳实践。本教程致力于帮助学员掌握...
CKS认证-禁⽌匿名访问
m0_46913617的博客
08-05 857
本文主要是介绍CKS认证考试相关的题目和注意事项
【K8S认证】2023年CKS考题-启用API server认证(解析+答案)
u014481728的博客
10-28 1912
【K8S认证】2023年CKS考题-启用API Server(解析+答案)
CKS认证-kube-bench CIS 基准测试
m0_46913617的博客
08-07 345
本文主要是介绍CKS认证考试相关的题目和注意事项
k8s学习-CKS真题-启用API Server认证,禁止匿名访问
关注网络安全、云原生安全
04-22 1095
ps:考试环境应该是已有的,–user=system:anonymous的clusterrolebinding。创建一个名为system:anonymous的clusterrolebinding。查询用户system:anonymous的clusterrilebinding。确保只有认证并且授权过的 REST 请求才被允许。这个等我考前有模拟环境时再做补充。删除题目要求的角色绑定。
CKS认证题库
托瓦斯克一
11-28 3014
2022年11月最新CKS认证
CKS 认证备考指南
KubeSphere
09-15 996
作者:scwang18,主要负责技术架构,在容器云方向颇有研究。 前言 CKA 和 CKS 是 Linux 基金会联合 CNCF 社区组织的云原生技术领域权威的技术水平认证考试,考试采用实操方式进行。CKS 全称是 Certified Kubernetes Security Specialist,它在一个模拟真实的环境中测试考生对 Kubernetes 和云安全的知识。在参加 CKS 考试之前,必须已经通过 CKA(Kubernetes 管理员认证),在获得 CKA 证书之后才可以预约 CKS 考试。C
【K8S认证】2023年CKS考题-Kube-Bench基准修复(解析+答案)
u014481728的博客
10-25 1948
【K8S认证】2023年CKS考题-Kube-Bench基准修复(解析+答案)
CKS1.23 考试题整理(12)-启用 API server认证
april_4的博客
04-21 1307
题目 重新配置cluster的Kubernetes APl 服务器,以确保只允许经过身份验证和授权的 REST请求。 使用授权模式 Node,RBAC 和准入控制器 NodeRestriction。 删除用户 system:anonymous 的 ClusterRoleBinding来进行清理。注意:所有kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。 你不必更改它,但请注意,一旦完成 cluster 的安全加固, kubectl 的配置将无法工作。 您可以使用位于 clu
Kubernetes认证考试CKS主要知识点介绍
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-22 730
CKS (Certified Kubernetes Security Specialist) 是由 Cloud Native Computing Foundation (CNCF) 提供的一项专注于 Kubernetes 安全领域的专业认证。该认证旨在验证考生在设计、实施和维护安全的 Kubernetes 集群方面的能力。
CKS 认证实战班视频课程2022
03-09
分享一套CKS视频教程,2022年1月结课的新课 课程大纲: 第1章 开班仪式 第2章 模块一:Kubernetes集群设置 第3章 模块二:Kubernetes 集群强化 第4章 模块三:Kubernetes 系统强化 第5章 模块四:最小化微服务漏洞 ...
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
【nginx】解决k8s中部署nginx转发不会自动更新域名解析&启动失败的问题
最新发布
qq_26127905的博客
08-07 372
但是如果这个服务不存在,ip1就会拿不到,从而导致启动nginx失败。(即Nginx接收并处理客户端请求的阶段)对域名的处理方式是不同的。ip改变了,代理会失败,因为nginx缓存了旧ip。这里指的容器重新创建,并非更新镜像,因为更新镜像。指定了域名服务器,在解析时是不会自动帮我们补全的。要先创建,否则nginx启动时会因为无法解析。中域名一定要写全域名,不能简写成。,在解析域名时会自动帮你补全域名。解析即可,(按照理解,默认会去根据。才解析域名,这里按理说值配置。指定域名,那么这个域名会到。
k8s中yaml文件的编写
2402_83805984的博客
08-04 1005
方法1:根据现有资源导出yaml文件修改配置,重新创建只保留常用配置,删除多余的,配置,进行修改创建即可方法2:根据现有资源,进入其配置中,复制模板,再进行创建即可复制其中的配置,获取模板方法3:通过--dry-run选项模拟运行创建资源的命令获取kubectl create|run|expose -n <命名空间> <资源类型> <资源名称> [参数选项] --dry-run=client -o yaml > XXX.yaml。
K8S Docker搭建RocketMQ Dledger高可用集群
AllenChan_的博客
08-04 801
讲解RocketMQ最流行的3种集群部署模式以及它们之间的差异。带你用3台小机器结合K8S和Docker搭建一个高可用具备failover能力的生产集群。实现TPS 6000和百万消息收发的RocketMQ集群。
Kubernetes】k8s集群的资源发布方式
F12138X的博客
08-03 608
若不给自己设限,则人生中就没有限制你发挥的藩篱
2021 CKA-CKS备考策略:官方资源与实战指南
在准备2021年的CKA-CKSKubernetes管理员/专家)认证考试时,这份备考攻略提供了全面的学习指南和策略。首先,让我们深入了解这两个认证: 1. **CKA (Certified Kubernetes Administrator)**: 作为认证的管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值