k8s-认证授权 14

最新推荐文章于 2024-11-03 10:17:37 发布
最新推荐文章于 2024-11-03 10:17:37 发布
阅读量660 收藏 8
点赞数 7
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65366762/article/details/135536040
版权

 Kubernetes的认证授权分为认证(鉴定用户身份)、授权(操作权限许可鉴别)、准入控制(资源对象操作时实现更精细的许可检查)三个阶段。

Authentication(认证)

认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再 进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式 。

Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和( Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在, 它只是形式上存在。

Authorization(授权)

必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒
绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、 Node。默认集群强制开启RBAC。

Admission Control(准入控制)

用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求 API资源对象进行修改和校验。

UserAccount与serviceaccount:

(1)用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。

(2)用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不 会做 namespace 隔离, 服务账户是 namespace 隔离的。

(3)通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉 及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

认证

切换用户

由于默认用户没有任何权限,无法访问,需要进行授权

切回admin

RBAC(Role Based Access Control):基于角色访问控制授权。允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联;RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可;

RBAC包括四种类型:Role、ClusterRole、RoleBinding、ClusterRoleBinding。

控制器的概念:

组的概念:

切回到admin

回收

coco--hui
关注
K8s-cks必备技能攻略
02-07
用户认证授权体系(RBAC)是指在K8s集群中对用户进行认证授权的机制,可以根据用户的角色和权限来控制用户对K8s集群的访问权限。 CNI网络介绍: CNI(container network interface)是容器网络接口,它是一种...
citrix-k8s-ingress-controller:适用于Kubernetes的Citrix ADC(NetScaler)入口控制器:
02-03
2. **API Gateway**: API Gateway 是一个面向微服务架构的组件,它作为所有API调用的统一入口,执行如认证授权、限流、API版本管理等操作。Citrix ADC可以作为一个强大的API网关,提供这些高级功能。 3. **Citrix...
K8s-cks进阶技能攻略
02-07
Kubernetes准入控制器(Admission Controllers)是一段代码,它会在请求通过认证授权之后、对象被持久化之前,拦截到达API服务器的请求。Mutating控制器可以修改他们所处理的对象,而Validating则不会。如果验证的...
k8s-source-code-analysis:《 k8s-1.13版本原始代码分析》
02-04
K8s-1.13版本原始代码分析》是一个深入理解Kubernetes核心机制的宝贵资源,特别是对于那些想要探索Kubernetes内部运作原理的开发者和系统管理员而言。在这个压缩包中,你将找到名为"k8s-source-code-analysis-...
ansible-k8s-install.tar.gz
01-09
标题中的"ansible-k8s-install.tar.gz"表明这是一个使用Ansible自动化工具来部署Kubernetes(简称k8s)集群的压缩文件。Ansible是一个流行的IT自动化框架,它可以帮助管理员简化配置管理、应用部署以及任务执行等...
TensorRT-LLM的k8s弹性伸缩部署方案
smartcat2010的博客
11-02 320
从Service的triton metrics端口(8002)那里拿到metrics指标(queue time, compute time),计算得到新指标(二者的比率);1. Deployment:跑起来N个pod;指定NVIDIA官方的triton&trt-llm的docker image,指定好model放在哪个volume里;4. HPA(Horizontal Pod Autoscaler,水平扩展):根据Prometheus的指标数值,和预先配置好的阈值,来自动新增pod或减少pod;
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
11-02 708
国产服务器平台离线部署k8s和kubesphere(含离线部署新方式)
Kubeadm搭建k8s
YCyjs的博客
10-29 1237
kubectl需经由API server认证授权后方能执行相应的管理操作,kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf,它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录。所有节点上传flannel镜像 flannel.tar 到 /opt 目录,
KubernetesK8s)相关漏洞介绍
weixin_45945976的博客
10-31 403
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
Centos7搭建k8s集群
ct1027038527的专栏
10-29 994
然后在需要加入集群的节点中执行令牌,注意这里的命令是通过kubeadm token create --print-join-command命令返回的结果。sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久。逻辑是: deployment ------>副本 -----> pod (运行容器的基本资源对象)# 在工作节点上执行以下命令即可加入集群。执行创建deployment。删除deployment。创建deployment。
K8s 容器的定向调度与亲和性
KubeSphere
10-30 1205
K8s 集群节点 CPU 使用率高!内存溢出(OOM)!宕机!导致大量微服务瘫痪怎么办?可能是调度策略没做好,看完这篇文章掌握提高集群稳定性的管理诀窍。KubernetesK8s)是一个开源的容器编排工具,而容器调度是其非常重要的特性,所谓的调度是指将容器(Pod)分配到集群中的节点上运行的过程。为了更好地控制容器的调度,K8s 提供了多种调度策略,其中包括定向调度和亲和性策略。在实际的 K8s 集群维护场景中,合理使用这些调度策略,对集群的稳定性至关重要。
Kubernetes中的cm存储
huaz_md的博客
11-02 601
configmap。
k8s环境中如何在本地和pod之间同步文件?
云笔记
10-30 999
这是一个 Kubernetes CLI 插件,用于在 Kubernetes 上的 Pod 中同步和执行本地文件。通过以上方法,可以有效地在本地和 Kubernetes 的 Pod 之间实现文件的同步与共享,选择合适的方法取决于具体的使用场景和需求。这样,当本地目录中的文件发生变化时,ksync 会自动将更改同步到指定的 Pod 中[3][4]。:在同一个 Pod 内的多个容器之间,可以使用共享卷来实现文件的同步。实现,可以快速同步本地代码到运行中的容器中,非常适合开发环境。访问这些文件[1]。
【读书笔记/深入理解K8S】集群网络
meeiuliuus的博客
11-02 825
上一章讲了集群控制器的一个大概的原理,这一章讲一下集群网络。网络是集群通信的载体,因为该书是阿里云团队出品的,所以也以阿里云的集群网络方案为例,其他云厂商的网络集群方案一般来说也大同小异。所以通过本章的学习,能对k8s集群网络的搭建有个大概的理解,也算是有所收获。网络搭建过程基于网络的通信。
跨可用区的集群k8s的基本操作和配置理解
politeboy的博客
10-31 977
kubectl delete svc [service名字] 或者 kubectl delete -f api_service.yaml (删除文件中定义的所有service):pod就是在deployment下面定义的,因此停止了pod,deployment也会停止,而删除pod,由于deployment还在,所以会自动重启pod和service一般可以写到一个文件中,一次性全部启动,一次性全部删除。
k8s】-Pod镜像拉取失败问题
北城半夏
11-03 61
前置准备需要安装上述的方式进行创建镜像仓库。
k8s】-备份恢复etcd数据
北城半夏
11-03 105
etcd以及apiserver默认是以静态容器的方式运行的,静态容器的配置文件存放目录是 /etc/kubernetes/manifests/,所以将两个文件暂时移出此目录,两个服务就终止了。
k8s-实战——ES集群部署
最新发布
北城半夏
11-03 53
【代码】k8s-实战——ES集群部署。
K8S系列】Kubernetes 中 Pod 无法通过 Service 名称访问服务的 DNS 解析失败问题【已解决】
颜淡慕潇
10-30 6727
Kubernetes 中,Service 提供了一种稳定的方式,通过名称访问一组 Pod。当其他 Pod 无法通过 Service 名称访问服务,并且出现 DNS 解析失败时,通常会导致应用无法正常工作。本文将详细分析此问题的常见原因及其解决方案。
K8s-CKS深度解析:从框架到网络、存储
"K8s-cks必备技能攻略,涵盖了K8s框架、CNI网络、CSI存储、资源管理、应用生命周期管理、弹性伸缩、容器调度和用户认证授权体系等方面。" 在 Kubernetes (K8s) 中,理解其基本框架至关重要。K8s 框架由控制节点和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值