kubernetes rabc 的sa创建并限制多个namespace

最新推荐文章于 2024-07-29 11:46:57 发布
最新推荐文章于 2024-07-29 11:46:57 发布
阅读量2k 收藏 4
点赞数
分类专栏: Kubernetes 文章标签: kubernetse rbac
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mofiu/article/details/107077930
版权
本文介绍了如何在Kubernetes中创建一个Service Account (SA),并通过RBAC授权允许该账号访问多个特定的命名空间。通过设置,账号在不同命名空间拥有相应权限,详细步骤包括创建SA、绑定集群权限、获取和配置token,以及验证访问。
摘要由CSDN通过智能技术生成

在实际k8s的应用中可能会限制用户对namespace的访问,一个账号访问多个namespaces 情况,经过测试后设置如下,

创建一个账号,创建sa后系统会自动创建一个kubernetes.io/service-account-token类型的secret

kubectl create serviceaccount updateuser

绑定集群权限,(分别绑定在两个不通的namespaces,绑定哪个namesapce就有哪个namespace相应的权限)

kubectl create rolebinding updateuser --clusterrole=system:controller:deployment-controller --serviceaccount=default:updateuser --namespace=default
kubectl create rolebinding updateuser --clusterrole=system:controller:deployment-controller --serviceaccount=default:updateuser --namespace=kube-system

查看

[root@k8s-master01 rbac]# kubectl describe rolebinding updateuser
Name:         updateuser
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  system:controller:deployment-controller
Subjects:
  Kind            Name        Namespace
  ----
最低0.47元/天 解锁文章
誠寜
关注
专栏目录
在k8s集群中Kubernetes仪表板dashboard使用RABC机制限制指定用户针对指定名称空间中的资源进行管理实践...
WeiyiGeek 唯一极客IT知识分享
05-16 452
公众号关注「WeiyiGeek」设为「特别关注」,每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:Dashboard-利用rbac机制限制指定用户针对指定名称空间中的资源进行UI管理原文地址:https://blog.weiyigeek.top/2021/12-1-583.html(2) Dashboard-利用rbac机制限制指定用户针对指定名称空间中...
如何在Kubernetes集群中使用kubectl工具来进行管理多个外部K8S集群接入与资源操作?...
WeiyiGeek 唯一极客IT知识分享
05-25 582
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x03 Kubernetes 中多集群接入管理实践1.本地集群创建指定用户管理集群2.外部集群创建指定用户管理集群原文地址:https://blog.weiyigeek.top/2022/2-27-620.html0x03 Kubernetes 中多集群接入...
[kubernetes]-kubernetes创建namespace权限的kubeconfig
爷来辣的博客
07-31 1934
#1. 创建集群级别的角色 ClusterRole # clusterrole.yaml 提供基本权限 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: cr-hz rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list", "watch", "create", "update", "patch", "dele
k8s 创建 Token (及一个 ServiceAccount 管控多个 Namespace
叮当猫的喵i
10-18 4859
可以实现 SA 具有操作别的 namespace 中资源的权限(例如 SA 在 ns1, Role 在 ns2,SA 可操作 ns2 资源)SA 通过 ClusterRoleBinding 绑定 ClusterRole,具有 ClusterRole 权限,可操作。SA 通过 RoleBinding 绑定 Role ,具有 Role 权限,只能操作。没有 ClusterRoleBinding 与 Role 的 组合。绑定 ClusterRole, 具有。
Kubernetes安全--基于sa和user的rbac认证机制
最新发布
07-29 750
K8S中有两种用户(User)——服务账号(ServiceAccount)和普通意义上的用户(User)ServiceAccount是由K8S管理的,而User通常是在外部管理,K8S不存储用户列表——也就是说,添加/编辑/删除用户都是在外部进行,无需与K8S API交互,虽然K8S并不管理用户,但是在K8S接收API请求时,是可以认知到发出请求的用户的,实际上,所有对K8S的API请求都需要绑定身份信息(User或者ServiceAccount),这意味着,可以为User配置K8S集群中的请求权限。
k8s-namespace的一些限制
Panda1925的博客
04-28 410
k8s 基于RBAC的授权
qq_15138049的博客
07-02 390
k8s rabc
Kubernetes 018】cfssl创建证书并结合RBAC的RoleBinding配置新用户config文件操作详解
T型人小付的博客
05-15 846
安全性是企业生产环境中的头等大事,对于访问同一集群的不同用户或者用户组来说,将权限分级是很有必要的。和很多云厂商一样,k8s也是采用按照角色和用户绑定的方式来分配权限的,这一节我们就来实际操作下,新建一个用户,并只让他在指定的namespace进行管理。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录RBACRole和ClusterRoleRoleBinding和ClusterRoleBinding用户以及认证一些证
一个通过Springboot Mybatis Vue Netty Sa-Token 等主流技术开发的的RABC权限后台管理系统
05-20
该项目利用了基于springboot + vue + mysql的开发...Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
rabc.zip_RABC_rabc实现
09-20
3. **用户(User)**:用户是系统的主要参与者,他们被分配到一个或多个角色,从而继承角色的权限。 4. **角色-权限映射(Role-Permission Mapping)**:定义了角色所包含的权限,这通常是通过数据库表或配置文件来...
Kubernetes(k8s)安全机制
weixin_56270746的博客
08-11 2019
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1809
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权。
Kubernetes RBAC 为指定用户授权访问不同命名空间权限
小楼一夜听春雨,深巷明朝卖杏花
01-18 7479
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
K8S权限控制,限制用户在多个namespace上的访问权限
麦迪康
01-13 2065
参考: https://www.cnblogs.com/aresxin/p/k8s-sc.html https://blog.csdn.net/ljx1528/article/details/85226422 遇到的问题: Error from server (Forbidden): deployments.apps is forbidden: User "system:serviceaccount:default:dev" cannot create resource "deployments" in A
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 2879
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
k8s sa role rolebinding secret
qq_30553857的博客
05-05 1581
一、在RBAC中的几个概念: 1、什么是RBAC RBAC全称Role-Based Access Control,是Kubernetes集群基于角色的访问控制,实现授权决策,允许通过Kubernetes API动态配置策略。 2、什么是Role Role是一组权限的集合,例如Role可以包含列出Pod权限及列出Deployment权限,Role用于给某个NameSpace中的资源进行鉴权。 3、什么是ClusterRole ClusterRole是一组权限的集合,但与Role不同的是,ClusterRo
k8s之创建基于sa的访问凭据kubeconfig文件
学亮编程手记
08-11 1904
K8S 提供了丰富的认证和授权机制,可以满足各种场景细粒度的访问控制。而访问k8s集群是需要通过认证、授权、准入控制三个阶段的。其中常见的包括用户使用kubectl客户端工具与kube-apiserver进行交互,那么这就需要kubeconfig凭据。下面会演示如果创建小权限的kubeconfig凭据访问k8s集群中某个namespace下的资源。1、集群2、命名空间。...
创建pod 解决命名空间sa的secrets=0 失败 No API token found for service account “default“
Bruce小鬼
11-02 1492
创建pod 解决命名空间sa没有secrets=0 失败 No API token found for service account “default” 1.概述 在创建建pod的时候发现创建总是失败,查看创建pod日志发现是没有token。然后查看sa 发现SECRETS全是0 ,没有数据,那么pod在创建的时候由于获取不到token就会出现创建失败的情况。 ...
django 开发一个rabc 权限管理系统
01-09
在Django中开发一个RABC(Role-Based Access Control)权限管理系统可以通过以下步骤实现: 1. 创建Django项目并设置数据库连接。 2. 定义用户角色和权限模型。 3. 创建用户认证系统。 4. 实现用户注册、登录和注销...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值