K8S的RBAC资源

最新推荐文章于 2024-06-14 10:18:23 发布
最新推荐文章于 2024-06-14 10:18:23 发布
阅读量58 收藏
点赞数 2
分类专栏: k8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53733914/article/details/134044700
版权

RBAC授权规则是通过四种资源来进行配置的,他们可以分为两组:

  • Role(角色)和ClusterRole(集群角色),他们指定了在资源上可以执行那些动作。
  • RoleBingding(角色绑定)和ClusterRole(集群角色绑定),他们将角色绑定到特定的用户、组或者ServiceAccounts上

角色定义了可以做什么操作,而绑定定义了谁可以做这些操作

Role(角色)和ClusterRole(集群角色),或者RoleBingding(角色绑定)和ClusterRole(集群角色绑定)之间的区别在于Role(角色)和RoleBingding(角色绑定)的是namespace(命名空间)的资源,而ClusterRole(集群角色)和ClusterRole(集群角色绑定)是集群级别的资源,而不是命名空间的。

1、Role和ClusterRole

Role(角色)是一系列权限的集合,例如一个角色可以包含读取 Pod 的权限和列出 Pod 的权限。

Role 只能用来给某个特定 namespace 中的资源作鉴权,对多 namespace 和集群级的资源或者是非资源类的 API(如 /healthz)使用 ClusterRole。

如果你希望在名字空间内定义角色,应该使用 Role; 如果你希望定义集群范围的角色,应该使用 ClusterRole。

赋予的权限可以精确到某个资源创建的资源

1、role

Role示例:授予对 的读访问权限

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods","pods/exec"]   # "需要赋予权限的资源,这里为pods,如果想要获得执行权限等可以为 pods/exec 的格式"
  # resourceNames: ["my-pod"]       # 已经创建好的名为 my-pod 的pod权限
  verbs: ["get", "watch", "list"]   # 允许的权限

2、ClusterRole

ClusterRole 示例

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: secret-reader
rules:
- apiGroups: [""]      
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

权限参数:

  • get 和 list:读取权限

  • watch:动态获取的操作,相当于 -w

  • delete:删除权限

2、RoleBinding 和 ClusterRoleBinding

RoleBinding 把角色(Role 或 ClusterRole)的权限映射到用户或者用户组,从而让这些用户继承角色在 namespace 中的权限。

ClusterRoleBinding 让用户继承 ClusterRole 在整个集群中的权限。

1、RoleBinding

RoleBinding 示例(引用 Role)

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

 2、ClusterRoleBinding

ClusterRoleBinding 示例(引用ClusterRole)

apiVersion: rbac.authorization.k8s.io/v1
# 此集群角色绑定允许 “manager” 组中的任何人访问任何名字空间中的 secrets
kind: ClusterRoleBinding
metadata:
  name: read-secrets-global
subjects:
- kind: Group
  name: manager # 'name' 是区分大小写的
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

3、总结Role、ClusterRole、Rolebinding和ClusterRoleBinding的组合

访问的资源使用的角色类型使用绑定的绑定类型
集群级别ClusterRoleClusterRoleBinding
非资源型URLClusterRoleClusterRoleBinding
在任何命名空间中的资源ClusterRoleClusterRoleBinding
在具体命名空间中的资源(在多个命名空间中重用这个相同的ClusterRole)ClusterRoleRoleBinding
在具体命名空间中的资源(Role必须在每个命名空间中定义好)RoleRoleBinding

4、默认的Rolebinding和ClusterRoleBinding

Kubernetes提供了一组默认的Cluster和ClusterRoleBingding,每次API服务重新启动时都会更新他们,这保证了在错误的删除角色和绑定,或者kuberneter使用了不同的集群角色和绑定配置时,左右的默认角色和绑定都会被重新刷新创建

查看默认的集群角色和绑定

# 查看默认的 clusterrolebindings
kubectl get clusterrolebindings

#查看默认的 clusterrole
kubectl get clusterroles

view、edit、admin、cluster-admin在ClusterRole是重要的角色,他们应该绑定到用户定义pod中的ServiceAccount上。

1、view CusterRole允许对资源的只读访问

允许读取一个命名空间中的大部分资源,除了Role、RoleBingding和Secret,Secret中可能包含一个认证的token,如果允许读取,将是一个非常危险。

2、edit CusterRole允许对资源的修改

允许修改一个命名空间中的资源,同时允许读取和修改Sercret,但是不允许访问Role和RoleBingding,这是为了防止权限扩散。

3、admin CusterRole赋予一个命名空间的全部控制权

赋予一个命名空间中的资源完全控制权,这个CusterRole赋予的。有这个CusterRole的主体可以读取和修改命名空间中的任何资源,除了ResourceQuoat和命名空间资源本身。edit和admin ClusterRole 之间的主要区别是能否在命名空间中查看和修改Role和RoleBinding。

4、cluster-admin CusterRole得到完全的控制

可以获得kubernetes集群完全控制权,admin CusterRole 不允许用户修改命名空间的ResourceQuoat和命名空间资源本身,cluster-admin CusterRole可以允许用户这样做。

5、实战:赋予不同用户的不同权限

  • 需求:

    • 用户jojo可以查看default、kube-system下Pod的日志

    • 用户dio可以在default下的Pod中执行命令,并且可以删除Pod

查看namespace

[root@master ~]# cat namespace-read.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: namespace-readonly
rules:
- apiGroups:
  - ""
  resources:
  - namespaces
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - metrics.k8s.io
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

可以删除Pod

[root@master ~]# cat pod-delete.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pod-delete
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - delete

在pod中执行命令

[root@master ~]# cat pod-exec.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pod-exec
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
- apiGroups:
  - ""
  resources:
  - pods/exec
  verbs:
  - create

查看pod的日志

[root@master ~]# cat pod-log.yaml    
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pod-log
rules:
- apiGroups:
  - ""
  resources:
  - pods
  - pods/log
  verbs:
  - get
  - list
  - watch

创建用户

kubectl create sa jojo -n kube-user
kubectl create sa dio -n kube-user

赋予jojo用户权限

kubectl create rolebinding a-jojo --clusterrole=pod-log --serviceaccount=kube-user:jojo -n default
kubectl create rolebinding b-jojo --clusterrole=pod-log --serviceaccount=kube-user:jojo -n kube-system

赋予dio用户权限

kubectl create rolebinding a-dio --clusterrole=pod-delete   --serviceaccount=kube-users:dio --namespace=default
kubectl create rolebinding b-dio --clusterrole=pod-exec   --serviceaccount=kube-users:dio --namespace=default

程丶的摆烂日常
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
K8s-ceph-csi-rbd连接资源
06-15
K8s通过rbdcsi连接ceph集群资源文件,已经修改了里面的镜像地址,补全configmap文件,可以直接下载部署
k8s培训视频.zip
05-09
目录网盘文件永久链接 01-Devops核心要点及kubernetes架构概述 ...16-kubernetes RBAC 17-kubernetes dashboard认证及分级授权 18-配置网络插件flannel 19-基于canel的网络策略 20-调度器、预选策略及优选函数 ...
k8s入门介绍,k8s多master多noede安装部署教程
07-28
* apiserver:提供k8s api,是整个系统的对外接口,提供资源操作的唯一入口,供客户端和其它组件调用,提供了k8s各类资源对象(pod,deployment,Service等)的增删改查,是整个系统的数据总线和数据中心,并提供认证...
k8s部署prometheus+grafana监控.pdf
12-23
在这里,我们使用了k8s的Deployment资源来部署Prometheus和Grafana服务。 ``` apiVersion: apps/v1 kind: Deployment metadata: name: prometheus spec: replicas: 1 selector: matchLabels: app: prometheus ...
rbacsync:自动将组同步到Kubernetes RBAC
02-03
该项目提供了一个Kubernetes控制器,用于使用合并的配置对象从组成员身份源同步Kubernetes 使用...定制资源 RBACSync利用“ 来管理绑定配置和组成员资格声明。 CRD在中可用。 中提供了有关类型声明的特定信息。 根据要
k8s离线部署Calico网络(2续)
weixin_72819498的博客
06-10 284
链接:https://pan.baidu.com/s/14ReJW-ZyYZFLbwSEBZK6mA?
k8s基础命令集合
清瞳清的博客
06-11 206
这些命令是Kubernetes管理中最常用的一些基本操作,熟练掌握这些命令能够帮助你高效地管理Kubernetes集群和应用。
K8s源码分析(三)】-K8s调度器调度周期介绍
slipegg的博客
06-09 1219
k8s源代码出发介绍了K8s调度周期中的各种事件。
k8s_探针专题
最新发布
纵歌的博客
06-14 232
k8s_探针专题
k8s-CCE创建工作负载变量引用
weixin_60092693的博客
06-10 390
背景,看到cce创建负载时会生成变量,如下。在skywaking-agent的使用,想要调用cce负载变量生成service_name。以变量形式配置时,可以调用,但是插拔性不强,去掉就找不回了,而且不够安全。2、以自定义变量调用cce变量:以下仅$(PAAS_APP_NAME)生效了,使用还是要标准些。构建时引用不到cce的变量,且以字符串的形式给了java-options,不会再产生调用。2、配置项调用PAAS_APP_NAME时是调用不到的。追加临时的变量参数,直接调用cce的负载变量。
k8s挂载配置文件(通过ConfigMap方式)
Hello!
06-08 669
K8s中的ConfigMap是一种用于存储配置数据的API对象,属于Kubernetes中的核心对象。它用于将应用程序的配置信息与容器镜像分离,以便在不重新构建镜像的情况下进行配置的修改和更新。ConfigMap可以存储键值对、文本文件或者以特定格式组织的配置文件,例如环境变量、命令行参数等。ConfigMap的主要作用是提供一个集中管理和传递配置信息的机制,让应用程序能够从ConfigMap中获取配置数据。这样,在不修改容器镜像的前提下,可以根据需要动态地修改应用程序的配置参数。
k8s 证书更新
fhjtg的博客
06-11 434
通过以上步骤,你可以成功地更新Kubernetes集群的证书,避免由于证书过期导致的集群不可用问题。记得在多master节点环境中,需要在每个master节点上重复执行上述步骤。最后,确保检查更新后的集群状态,以验证更新过程是否成功,避免任何潜在的问题影响集群的稳定性和可用性。
docker是什么?和kubernetes(k8s)是什么关系?
Beyourselfsun的博客
06-09 418
docker是什么?和kubernetes(K8s)是什么关系
linxu-Ubuntu系统上卸载Kubernetes-k8s
你是我的天晴
06-13 670
请注意,执行kubeadm reset命令会尝试清理集群状态,包括删除所有通过kubeadm创建的网络接口和路由,以及停止kubelet服务。如果您有重要的数据需要保留,请在执行kubeadm reset之前手动备份。要确定节点上是否有由Kubernetes创建的网络接口,您可以使用一些命令来检查网络接口的状态和配置。在执行这些步骤之前,请确保您已经备份了所有重要的数据,并且了解这些操作将会移除您的Kubernetes集群和所有相关的配置。另外,如果您在集群中有持久化的数据,您需要在执行kubeadm。
1.xshell传不了文件输出0000如何解决.....2.k8s中metalLB文件内容
lwxvgdv的博客
06-10 311
centos版本1,因为没有工具下载即可。
k8s及etcd的每日自动备份及故障时的还原脚本
程序员记事本
06-12 199
k8s 自动备份脚本及恢复方法
就业班 第四阶段(k8s) 2401--6.5 day3 Yaml语法解析+钩子函数
weixin_50382197的博客
06-11 197
今天学的都是在pod里面操作的。
Kubernetes (K8s) 和 Spring Cloud 的区别
nbsaas-boot基于Request-Response的企业级快速开发框架
06-11 530
Kubernetes 是由 Google 开发并捐赠给 Cloud Native Computing Foundation (CNCF) 的开源容器编排平台。Kubernetes 的主要目的是自动化应用程序的部署、扩展和管理。它允许开发者和运维人员高效地管理成千上万的容器化应用,并确保这些应用能够高可用、可扩展和易于维护。Kubernetes是一个容器编排平台,属于基础设施层,主要关注容器的部署、管理和扩展。它有一个丰富的生态系统,包括 Helm、Istio、Prometheus 等工具。
Centos7.9使用kubeadm部署K8S集群
codelearning的专栏
06-11 828
使用kubeadm部署一个k8s集群,单master+2worker节点。
k8s rbac 在业务服务中如何应用
05-12
Kubernetes RBAC(基于角色的访问控制)提供了一种灵活的方式来管理 Kubernetes 集群资源的访问权限。在业务服务中,RBAC 可以应用于以下方面: 1. 对不同用户或团队进行授权:通过创建不同的角色和角色绑定,可以对不同的用户或团队进行授权,从而使其只能访问其需要的资源。 2. 对不同的命名空间进行授权:通过创建不同的命名空间,可以为不同的团队或应用程序提供独立的环境。通过 RBAC 可以为每个命名空间分配不同的角色和角色绑定,从而限制用户或团队只能访问其需要的资源。 3. 对不同的服务账户进行授权:Kubernetes 中的服务账户是一种用于代表应用程序运行时的身份。通过为不同的服务账户创建不同的角色和角色绑定,可以限制应用程序只能访问其需要的资源。 4. 对不同的资源类型进行授权:通过创建不同的角色和角色绑定,可以限制用户或团队只能访问其需要的资源类型,从而提高安全性。 总之,Kubernetes RBAC 可以为业务服务提供精细的权限管理,从而保障集群的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值