【kubernetes】身份认证与授权

最新推荐文章于 2024-09-14 09:22:43 发布
最新推荐文章于 2024-09-14 09:22:43 发布
阅读量743 收藏 13
点赞数 16
分类专栏: Kubernetes Kubeadm 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meidongyan/article/details/140396932
版权

一,User、ServiceAccounts概述

介绍
Kubernetes 中提供了良好的多租户认证管理机制,如 RBAC,ServiceAccount 还有各种策略等。

分类
所有 Kubernetes 集群有两类用户:

  • 服务账户(Service Accounts)

    • 主要针对pod进程来说;
    • 由 Kubernetes 管理;
    • 允许集群用户为特定任务创建服务账户;

  • 普通账户(Users Accounts),(一般直接忽略)

    • 主要针对人(管理员,程序员)来说;
    • 具有全局性,所有命名空间都适用;
    • 名称具有唯一性;

二,服务账户(service Accounts)

控制器插件

  • Service Account Admission Controller
    1.如果 pod 没有设置 service Account,则将 Serice Account设置为 default。
    2.确保 pod 引用的 SericeAccount 存在,否则将会拒绝请求。
    3.如果 pod 不包含任何 ImagePullsecrets,则将ServiceAccount的lmagePullSecrets 会添加到pod中4.为包含 AP| 访问的 Token 的 pod 添加了一个 volume。
    5.把 volumeSource 添加到安装在 pod 的每个容器中,挂载在/var/run/secrets/kubernetes.io/serviceaccount.

  • Token Controller

  • Service Account Controller
    在namespaces 里管理ServiceAccount,并确保每个有效的namespaces 中都存在一个名为"default"的 ServiceAccount.

获取Service Controller命令:

kubectl get ServiceAccount[sa]

三,授权(RBAC)

1,角色

Role : 针对命名空间级别的管理
作表一个角色,会包含一组权限,没有拒绝规则,只是附加允许。它是 Namespace 级别的资源,只能作用与Namespace之内。

# 查看角色
kubectl get role -n kube-system -oyaml

在这里插入图片描述

ClusterRole:针对集群级别的管理
功能与 Role 一样,区别是资源类型为集群类型,而 Role 只在Namespace

# 查看某个集群角色的信息
kubectl get clusterrole view -oyaml

2,角色绑定

Role 或 ClusterRole 只是用于制定权限集合,具体作用与什么对象上,需要使用 RoleBinding或ClusterRoleBinding 来进行绑定。
RoleBinding : 针对命名空间的用户来绑定角色(Role)
RoleClusterBinding : 针对集群的用户来绑定角色(RoleCluster)

作用于 Namespace 内,可以将 Role 或 ClusterRole 绑定到User、Group、Service Acount 上

#查看 rolebinding 信息
kubectl get rolebinding --all-namespaces

绑定配置:
在这里插入图片描述

应用:在集群的接口调用上,给账户分配角色后,添加对应的权限。

一直奔跑在路上
关注
专栏目录
kubernetes安全控制认证授权(二)
程序源234的专栏
07-29 7441
本文将继续kubernetes授权体系。授权主要是用于对集群资源的访问控制,通过检查请求包含的相关属性值,与相对应的访问策略相比较,API请求必须满足某些策略才能被处理。跟认证类似,Kubernetes也支持多种授权机制,并支持同时开启多个授权插件(只要有一个验证通过即可)。如果授权成功,则用户的请求会发送到准入控制模块做进一步的请求验证;对于授权失败的请求则返回HTTP 403。
kubernetes认证授权
班婕妤
04-15 2184
访问控制 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证授权以及准入控制(Admission Control)等。 认证->授权->准入控制(adminationcontroller) 认证kubernetes,在集群开启TLS后,客户端发往Kubernetes的所有API请求都需要进行认证, 以验证用户的合法性。 Kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。如果认证成功,则用户的us
kubernetes认证授权、准入控制
weixin_38320674的博客
07-05 1793
微信公众号搜索linux全栈技术,即可关注我的公众号,也可通过扫描文章最后的二维码关注,每天都会分享技术文章供大家参考阅读~,拥抱开源,同大家共同进步~前言k8s对我们整个系统的认证,...
九、kubernetes认证授权和准入控制
weixin_42155272的博客
05-23 435
API-Server作为Kubernetes网关,是访问和管理资源对象的唯一入口,其他各种集群组件访问资源都需要经过此网关才能进行正常访问和管理。每一次的访问请求都需要进行合法性的检验,其包括身份验证、操作权限验证以及操作规范验证等,需要通过一系列验证通过之后才能使用api-server,api-server的数据全部存放在etcd当。如下图: 认证Authentication api-se...
k8s笔记八(kubernetes认证授权、准入控制)
热门推荐
dayi_123的博客
05-24 1万+
1、k8s的访问控制 API server作为kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,而其他所有的组件及kubectl命令都要经由此网关进行集群的访问和管理。而各组件及客户端每一次的访问请求都要有api server进行合法性校验,包括身份鉴别、操作权限验证等。所有的检查通过之后才能访问或存入数据于后端的etcd。客户端的认证操作是由api ser...
Kubernetes_认证授权_初识认证授权
毛毛的专栏
03-12 740
UserAccountServiceAccountRBAC的关系
Kubernetes身份认证授权操作全攻略:上手操作Kubernetes身份认证
Rancher
08-16 744
这是本系列文章的第二篇,在上篇文章我们介绍了Kubernetes访问控制。在本文,我们将通过上手实践的方式来进一步理解身份认证的概念。 在生产环境Kubernetes管理员使用命名空间来隔离资源和部署。命名空间作为一个逻辑边界来强制基本访问控制。 假设现在我们有个新的管理员叫Bob,要加入开发团队为研发组管理Kubernetes部署。我们现在需要给他提供足够的访问权限以便于...
Kubernetes认证授权
qq904748592的博客
01-27 2050
k8s集群搭建的认证以及授权
Kubernetes身份认证授权操作全攻略:K8s 访问控制入门
Rancher
08-14 788
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的Kubernetes和Pod外部用户...
kubernetes-starter:kubernetes入门,包括kubernetes概念,架构设计,部署环境构建,认证授权
02-03
Kubernetes支持多种身份验证和授权机制,包括基于证书、Token、Service Account等的认证,以及ABAC(基于属性的访问控制)、RBAC(角色基础的访问控制)等授权策略。了解这些机制有助于确保集群的安全运行。 在...
Kubernetes身份认证授权操作全攻略:访问控制之Service Account
Rancher
09-06 880
这是本系列的最后一篇文章,前面我们了解了访问控制的基本概念以及身份认证授权的具体操作,本文我们将进一步了解访问控制service accountKubernetes有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
Kubernetes身份认证授权操作全攻略
heima201907的博客
02-17 582
在生产环境Kubernetes管理员使用命名空间来隔离资源和部署。命名空间作为一个逻辑边界来强制基本访问控制。 假设现在我们有个新的管理员叫Bob,要加入开发团队为研发组管理Kubernetes部署。我们现在需要给他提供足够的访问权限以便于他管理工程命名空间。假设你是集群管理员并且拥有管理全局资源和对象的权限,你需要登上Bob的账户并帮助他获取访问Kubernetes集群所需的凭据。 我在...
rancher 权限 添加用户_Kubernetes身份认证授权操作全攻略:访问控制之Service Account...
weixin_39590739的博客
01-17 655
这是本系列的最后一篇文章,前面我们了解了访问控制的基本概念以及身份认证授权的具体操作,本文我们将进一步了解访问控制service accountKubernetes有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建证...
k8s环境搭建
m0_72009757的博客
09-11 687
yum clean all && yum makecachevim /etc/selinx/config
金钥匙系列:Kubernetes (K8s) 服务集群技术栈学习路线
最新发布
百锦再的博客
09-14 1465
维护 Kubernetes 服务集群是一项技术含量高且复杂的工作,需要多方面的知识与技能,包括 Linux 基础、网络、容器化技术、Kubernetes 核心概念与实践、集群管理、安全、高可用性、监控、日志、CI/CD 集成等。通过扎实的基础学习和大量的实践操作,你可以逐步掌握这些技术栈,并在企业级 Kubernetes 集群维护发挥重要作用。学习 Kubernetes 不仅仅是为了掌握一项技术,更是为了理解云原生架构背后的思维方式和工作流,这对未来的职业发展也具有非常重要的意义。
kubeadm方式安装k8s
m0_72009757的博客
09-10 627
本次以⼆进制⽅式安装⾼可⽤ k8s 1.28.0 版本,但在⽣产环境, 建议使⽤⼩版本⼤于 5 的 Kubernetes 版本,⽐如 1.19.5 以后。
9.11-kubeadm方式安装k8s
qq_70752758的博客
09-11 531
配置pod的yaml文件和docker-compose.uaml文件相似。
Kubernetes RBAC与OpenSSL身份验证:详解与示例
本PDF文件深入剖析了如何在 Kubernetes 利用 RBAC 和 OpenSSL 进行认证授权,包括角色管理、权限分配、用户身份验证流程和实用案例。这对于任何想要管理 Kubernetes 环境并确保其安全性的管理员来说,是一份宝贵的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一直奔跑在路上

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值