k8s:RBAC

最新推荐文章于 2024-06-07 11:19:48 发布
最新推荐文章于 2024-06-07 11:19:48 发布
阅读量445 收藏 2
点赞数
分类专栏: k8s 文章标签: linux 运维 docker 容器 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50434960/article/details/114678298
版权

RBAC

RBAC - 基于角色的访问控制。
RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件:

cat /etc/kubernetes/manifests/kube-apiserver.yaml
...
 1. --authorization-mode=Node,RBAC
...
如果是二进制安装则需重启

RBAC API 对象

Kubernetes 有一个很基本的特性就是它的所有资源对象都是模型化的 API
对象,允许执行 CRUD(Create、Read、Update、Delete)操作(增、删、
改、查),比如下面的这些资源:
2. Pods
3. ConfigMaps
4. Deployments
5. Nodes
6. Secrets
7. Namespaces

上面这些资源对象的可能存在的操作有:

  1. create
  2. get
  3. delete
  4. list
  5. update
  6. edit
  7. watch
  8. exec

在更上层,这些资源和 API Group 进行关联,比如Pods属于 Core APIGroup,而Deployements 属于 apps API Group,要在Kubernetes 中进行RBAC的管理,除了上面的这些资源和操作以外,还需要另外的一些对象:

  1. Rule:规则,规则是一组属于不同 API Group 资源上的一组操作的集合
  2. Role 和 ClusterRole:角色和集群角色,这两个对象都包含上面的Rules 元素,二者的区别在于,在 Role 中,定义的规则只适用于单个命名空间,也就是和 namespace 关联的,而 ClusterRole 是集群范围内的,因此定义的规则不受命名空间的约束。另外 Role 和 ClusterRole在Kubernetes 中都被定义为集群内部的 API 资源,和我们前面学习过的 Pod、ConfigMap 这些类似,都是我们集群的资源对象,所以同样的可以使用我们前面的kubectl相关的命令来进行操作
  3. Subject:主题,对应在集群中尝试操作的对象,集群中定义了3种类型的主题资源:
1.User Account:用户,这是有外部独立服务进行管理的,管理员进行私钥的分配,用户可以使用 KeyStone或者 Goolge 帐号,甚至一个用户名和密码的文件列表也可以。对于用户的管理集群内部没有一个关联的资源对象,所以用户不能通过集群内部的 API 来进行管理
2.Group:组,这是用来关联多个账户的,集群中有一些默认创建的组,比如cluster-admin
3.Service Account:服务帐号,通过Kubernetes API 来管理的一些用户帐号,和 namespace 进行关联的,适用于集群内部运行的应用程序,需要通过 API 来完成权限认证,所以在集群内部进行权限操作,我们都需要使用到 ServiceAccount,
  1. RoleBinding 和 ClusterRoleBinding:角色绑定和集群角色绑定,简单 来说就是把声明的 Subject和我们的 Role 进行绑定的过程(给某个用户 绑定上操作的权限),二者的区别也是作用范围的区别:RoleBinding 只会影响到当前 namespace 下面的资源操作权限,而 ClusterRoleBinding 会影响到所有的 namespace。

创建一个只能访问某个 namespace 的用户

我们来创建一个 User Account,只能访问 kube-system 这个命名空间:

  1. username: abc
  2. group: aaa

第1步:创建用户凭证

Kubernetes 没有 User Account 的 API 对象,不过要创建一个用户帐号的话也是挺简单的,利用管理员分配给你的一个私钥就可以创建了,这个我们可以参考官方文档中的方法,这里我们来使用OpenSSL证书来创建一个 User,当然我们也可以使用更简单的cfssl工具来创建:

给用户 abc 创建一个私钥,命名成:abc.key:

openssl genrsa -out haimaxy.key 2048

使用我们刚刚创建的私钥创建一个证书签名请求文件:haimaxy.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组):

openssl req -new -key abc.key -out abc.csr -subj "/CN=abc/O=aaa"

然后找到我们的Kubernetes 集群的CA ,我们使用的是kubeadm安装的集群,CA 相关证书位于 /etc/kubernetes/pki/ 目录下面,如果你是二进制方式搭建的,你应该在最开始搭建集群的时候就已经指定好了CA 的目录,我们会利用该目录下面的ca.crt 和 ca.key 两个文件来批准上面的证书请求
生成最终的证书文件,我们这里设置证书的有效期为500天:

openssl x509 -req -in abc.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out abc.crt -days 500

现在查看我们当前文件夹下面是否生成了一个证书文件:

[root@master cert]# pwd
/root/cert
[root@master cert]# ls
abc.crt  abc.csr  abc.key

现在我们可以使用刚刚创建的证书文件和私钥文件在集群中创建新的凭证:

kubectl config set-credentials abc --client-certificate=abc.crt --client-key=abc.key

然后为这个用户设置新的上下文 Context:

kubectl config set-context abc-context --cluster=kubernetes --namespace=kube-system --user=abc

到这里,我们的用户haimaxy就已经创建成功了,现在我们使用当前的这个配置文件来操作kubectl命令的时候,应该会出现错误,因为我们还没有为该用户定义任何操作的权限呢:

[root@master cert]# kubectl  get pods --context=abc-context
Error from server (Forbidden): pods is forbidden: User "abc" cannot list resource "pods" in API group "" in the namespace "kube-system"

第2步:创建角色

用户创建完成后,接下来就需要给该用户添加操作权限,我们来定义一个YAML文件,创建一个允许用户操作 Deployment、Pod、ReplicaSets 的角色,如下定义:(abc-role.yaml)

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: abc-role
  namespace: kube-system
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["deployments", "replicasets", "pods"]
  verbs: ["get", "list", "watch", "create", "update","patch", "delete"] 
  # 也可以使用['*']

其中Pod 属于 core 这个 API Group,在YAML中用空字符就可以,而Deployment 属于 apps 这个 API Group,ReplicaSets属于属于哪个 API Group(我怎么知道的?点这里查文档),所,其中verbs就是我们上面提到的可以对这些资源对象执行的操作,我们这里需要所有的操作方法,所以我们也可以使用[’*’]来代替。

第3步:创建角色权限绑定

Role 创建完成了,但是很明显现在我们这个 Role 和我们的用户 abc还没有任何关系,需要创建一个RoleBinding对象,在 kube-system 这个命名空间下面将上面的 haimaxy-role 角色和用户 haimaxy 进行绑定:(abc-rolebinding.yaml)

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: abc-rolebinding
  namespace: kube-system
subjects:
- kind: User
  name: abc
  apiGroup: ""
roleRef:
  kind: Role
  name: abc-role
  apiGroup: ""

上面的 YAML文件中我们看到了subjects关键字,这里就是我们上面提到的用来尝试操作集群的对象,这里对应上面的 User 帐号 abc,使用kubectl创建上面的资源对象:

kubectl create -f abc-role.yaml

第4步. 测试

现在我们应该可以上面的abc-context上下文来操作集群了

kubectl get pods --context=abc-context

可以看到我们使用kubectl的使用并没有指定 namespace 了,这是因为我们已经为该用户分配了权限了,如果我们在后面加上一个-n default 试看看呢?

kubectl --context=abc-context get pods --namespace=default
Error from server (Forbidden): pods is forbidden: User "abc" cannot list resource "pods" in API group "" in the namespace "default"

因为该用户并没有 default 这个命名空间的操作权限

创建一个只能访问某个 namespace 的ServiceAccount

上面我们创建了一个只能访问某个命名空间下面资源的普通用户,我们前面也提到过 subjects 下面还有一直类型的主题资源:ServiceAccount,现在我们来创建一个集群内部的用户只能操作 kube-system 这个命名空间下面的 pods 和 deployments,首先来创建一个 ServiceAccount 对象:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: sa-role
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: sa-role
  namespace: kube-system
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get","watch","list"]
- apiGroups: ["apps"]
  resources: ["deployment"]
  verbs: ["*"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: sa-rolebinding
  namespace: kube-system
subjects:
- kind: ServiceAccount
  name: sa-role
  namespace: kube-system
roleRef:
  name: sa-role
  kind: Role
  apiGroup: "rbac.authorization.k8s.io"


[root@master kubeadm.1.18.img]# kubectl  apply -f recommended.yaml
[root@master kubeadm.1.18.img]# kubectl get service -n kubernetes-dashboard 
NAME                        TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)         AGE
dashboard-metrics-scraper   ClusterIP   10.100.204.141   <none>        8000/TCP        7d9h
kubernetes-dashboard        NodePort    10.99.124.240    <none>        443:30006/TCP   7d9h

在这里插入图片描述

[root@master ~]# kubectl  get secrets sa-role-token-gz7rf -o jsonpath={.data.token} -n kube-system | base64 -d
eyJhbGciOiJSUzI1NiIsImtpZCI6Im56QTB2cmZFOUtrQTNHdG9RNjJodkNELTZfQl9nc3g1V0FIQ2paS0daS28ifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJzYS1yb2xlLXRva2VuLWd6N3JmIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6InNhLXJvbGUiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJiM2Y5ZmQ1Yi04MGJlLTQ4NDctYjc5OC01ZjZiODgxYmExZmQiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6a3ViZS1zeXN0ZW06c2Etcm9sZSJ9.BdKi4Uj19CASsYcABN0kI4cSVjzqTDfy9aIH7ddNdESfSYzB9oYufAN6sFHl7j3AlRIuTPjhfJTW-BBtL5xG8i02UqYyF_3Tssai8QtSbiZsaOD_OaiMAsNMbi72qaxYKwu8bAm_O2JAQJXghHPTqKC5Jczf2-YRWkt1rDu8e61mxjuHknB2ogmar2-IM-MGVXvKKAzuZ8lb1WODGCodQNniUpTZvRg9N-Y7kBI3DhWsYgtenJYNo31ad-kDleRZ4PTB7445NySyZFfXBVfnYPdyVt7pE-d9PCOzONv2fyqDOsbNJ-gLI7QSSlyKeZLoRfJ1Ytx5Y2mpNfrYFaYDbg

在这里插入图片描述
相应的权限只能访问相应的状态信息

创建一个可以访问所有 namespace 的ServiceAccount

如果我们现在创建一个新的 ServiceAccount,需要他操作的权限作用于所有的 namespace,这个时候我们就需要使用到 ClusterRole 和ClusterRoleBinding 这两种资源对象了。同样,首先新建一个ServiceAcount 对象:(cluster-sa.yaml)

apiVersion: v1
kind: ServiceAccount
metadata:
  name: cluster-role1
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: clusterbinding
subjects:
- kind: ServiceAccount
  name: cluster-role1
  namespace: kube-system
roleRef:
  name: cluster-admin
  kind: ClusterRole
  apiGroup: rbac.authorization.k8s.io

在这里插入图片描述

波浪Y
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8sRBAC授权模式
weixin_37337210的博客
01-13 1048
导读 上一篇说了k8s的授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色的访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式)。 --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kube.
k8sk8s文档
03-04
【标题】"k8sk8s文档" 指的是Kubernetes(简称k8s)的官方文档,这是一个详尽的指南,用于指导用户安装、配置和管理这个强大的容器编排系统。Kubernetes是Google开源的一个项目,旨在自动化容器化应用的部署、扩展...
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2087
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
RBAC 模型梳理
最新发布
cliffordl的专栏
06-07 1302
权限是资源的集合,这里的资源指的是软件中所有的内容,包括模块、菜单、页面、字段、操作功能(增删改查)等等。页面权限操作权限和数据权限。
k8s - 安全认证(RBAC
栋院
03-18 2969
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
K8s攻击案例:RBAC配置不当导致集群接管
12-18 6883
01、概述Service Account本质是服务账号,是Pod连接K8s集群的凭证。在默认情况下,系统会为创建的Pod提供一个默认的Service Account,用户也可以自定义Service Account,与Service Account关联的凭证会自动挂载到Pod的文件系统中。当攻击者通过某个web应用获取到一个Pod权限时,如果RBAC权限配置不当,Pod关联的Service Acco...
k8s rbac
SHELLCODE_8BIT的博客
03-10 1324
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
Kubernetes K8S之鉴权RBAC详解
踏歌行的专栏
12-06 1818
Kubernetes K8S之鉴权概述与RBAC详解
tke-k8s rbac实践 ClusterRoleBinding自定义
yuezhilangniao的博客
11-12 571
以下主要介绍用不同的kubernetes的认证信息来访问集群中的指定的namespace 1、通过Token访问 2、通过用户名密码访问 3、通过RBAC 来访问 token授权和X.509 客户端证书方式 k8s rbac实践 tke rbac实践 ClusterRoleBinding自定义
K8S 创建 RBAC
一直被模仿,从未被超越
03-14 923
RBAC基于角色的访问控制--全拼 Role-Based Access Control 一、创建 K8S 账号、 1、创建证书 # 创建私钥 openssl genrsa -out tom.key 2048 # 用此私钥创建一个csr(证书签名请求)文件 openssl req -new -key tom.key -subj "/CN=tom" -out tom.csr # 拿着私钥和请求文件生成证书 openssl x509 -req -in tom.csr -CA /etc/kubern.
Kubernetes(k8s)权限管理RBAC
驰兔的博客
03-13 945
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
install_k8s:一键安装kubernets(k8s)系统,采用RBAC模式运行(证书安全认证模式),既可以单台安装,也可以安装,并且完全是生产环境的安装标准。 :bsh888
02-03
初步,克隆安装程序,并进入目录: git clone cd install_k8s第二步,下载大文件二进制包(里面是x86_64下编译好的k8s二进制文件):注意:下面的包任选,但要对应到相应的安装原始版本。 v1.16.3.1版本下载地址(ls...
k8s中部署prometheus的镜像
03-23
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus rules: - apiGroups: [""] resources: ["services", "pods", "endpoints", "nodes"] verbs: ["get", "list", "watch"]...
26 _ 基于角色的权限控制:RBAC1
08-04
apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: mynamespace name: example-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] ``` 上述Role允许在...
multi-k8s:kubernetes部署教程
02-18
【标题】:“multi-k8s:kubernetes部署教程” 在这个“multi-k8s:kubernetes部署教程”中,我们将深入探讨如何在多个环境中部署和管理Kubernetes(k8s)集群,这是一种流行的容器编排系统,它使得在分布式系统中...
k8s:Kubernetes 亲和性、反亲和性、污点、容忍
m0_50434960的博客
03-16 4335
Kubernetes 亲和性调度 一般情况下我们部署的 Pod 是通过集群的自动调度策略来选择节点的,默认情况下调度器考虑的是资源足够,并且负载尽量平均,但是有的时候我们需要能够更加细粒度的去控制 Pod 的调度,比如我们内部的一些服务gitlab 之类的也是跑在Kubernetes 集群上的,我们就不希望对外的一些服务和内部的服务跑在同一个节点上了,害怕内部服务对外部的服务产生影响;但是有的时候我们的服务之间交流比较频繁,又希望能够将这两个服务的 Pod 调度到同一个的节点上。这就需要用到 Kuberne
k8s:PVC 的使用
m0_50434960的博客
03-13 3528
PVC 的使用 在我们真正使用的时候是使用的 PVC,就类似于我们的服务是通过 Pod 来运行的,而不是 Node,只是 Pod 跑在Node 上而已, 准备工作 在使用 PVC 之前,我们还得把其他节点上的 nfs 客户端给安装上 我们需要在所有节点安装 nfs 客户端程序,安装方法和上节课的安装方法一样的。必须在所有节点都安装 nfs 客户端,否则可能会导致 PV 挂载不上的问题 新建 PVC 新建一个数据卷声明,请求 1Gi 的存储容量,访问模式也是ReadWriteOnce,YAML 文件如下:(p
k8s:基本概念与组件
m0_50434960的博客
03-06 2455
基本概念 Kubernetes 中的绝大部分概念都抽象成 Kubernetes 管理的一种资源对象: Master:Master 节点是 Kubernetes 集群的控制节点,负责整个集群的管理和控制。Master 节点上包含以下组件: kube-apiserver:集群控制的入口,提供 HTTP REST 服务 kube-controller-manager:Kubernetes 集群中所有 资源对象的自动化控制中心 kube-scheduler:负责 Pod 的调度 Node:Node 节点是 Ku
kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 这段代码是什么意思
07-16
- `apiVersion: rbac.authorization.k8s.io/v1`: 表示使用的 API 版本是 `rbac.authorization.k8s.io/v1`,即 Kubernetes RBAC(Role-Based Access Control)的 v1 版本。 通过定义集群角色,您可以在整个集群范围...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值