CKA备战04-真题:RBAC

已于 2022-04-12 15:37:21 修改
阅读量279 收藏
点赞数
文章标签: kubernetes
于 2022-04-01 11:39:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moyu11111/article/details/123891496
版权

做之前记得切换到对应context :

kubectl config use-context k8s

Q1:RBAC

Create a new ClusterRole named deployment-clusterrole at only allows the creation of the following resource types:

        Deployment
        StatefulSet
        DaemonSet
Create a new ServiceAccount named cicd-token in the existing namespace app-team1.
Limited to namespace app-team1, bind the new ClusterRole -to the new ServiceAccount cicd-token.

答案:

#创建clusterrole名字为deployment-clusterrole,可以创建的资源包括deployments,statefulsets,daemonsets
kubectl create clusterrole  deployment-clusterrole --verb=create --resource=deployments,statefulsets,daemonsets
#如无namespace需要手动创建
[root@test ~]# kubectl create namespace app-team1
namespace/app-team1 created
#创建serviceaccount在app-team1 命名空间中
[root@test ~]# kubectl create serviceaccount cicd-token -n app-team1
serviceaccount/cicd-token created

#在特定的名字空间app-team1中将名为“deployment-clusterrole”的ClusterRole 授权给名称 cicd-toekn" 的服务账号
[root@test ~]# kubectl -n app-team1 create rolebinding cici-binding --clusterrole=deployment-clusterrole --serviceaccount=cicd-toekn:app-team1

一些命令行工具

kubectl create role

创建 Role 对象,定义在某一名字空间中的权限。例如:

  • 创建名称为 "pod-reader" 的 Role 对象,允许用户对 Pods 执行 getwatch 和 list 操作:

    kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods

  • 创建名称为 "pod-reader" 的 Role 对象并指定 resourceNames

    kubectl create role pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod

  • 创建名为 "foo" 的 Role 对象并指定 apiGroups

    kubectl create role foo --verb=get,list,watch --resource=replicasets.apps

  • 创建名为 "foo" 的 Role 对象并指定子资源权限:

    kubectl create role foo --verb=get,list,watch --resource=pods,pods/status

  • 创建名为 "my-component-lease-holder" 的 Role 对象,使其具有对特定名称的 资源执行 get/update 的权限:

    kubectl create role my-component-lease-holder --verb=get,list,watch,update --resource=lease --resource-name=my-component

kubectl create clusterrole

创建 ClusterRole 对象。例如:

  • 创建名称为 "pod-reader" 的 ClusterRole对象,允许用户对 Pods 对象执行 getwatchlist` 操作:

    kubectl create clusterrole pod-reader --verb=get,list,watch --resource=pods

  • 创建名为 "pod-reader" 的 ClusterRole 对象并指定 resourceNames

    kubectl create clusterrole pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod

  • 创建名为 "foo" 的 ClusterRole 对象并指定 apiGroups

    kubectl create clusterrole foo --verb=get,list,watch --resource=replicasets.apps

  • 创建名为 "foo" 的 ClusterRole 对象并指定子资源:

    kubectl create clusterrole foo --verb=get,list,watch --resource=pods,pods/status

  • 创建名为 "foo" 的 ClusterRole 对象并指定 nonResourceURL

    kubectl create clusterrole "foo" --verb=get --non-resource-url=/logs/*

  • 创建名为 "monitoring" 的 ClusterRole 对象并指定 aggregationRule

    kubectl create clusterrole monitoring --aggregation-rule="rbac.example.com/aggregate-to-monitoring=true"

kubectl create rolebinding

在特定的名字空间中对 Role 或 ClusterRole 授权。例如:

  • 在名字空间 "acme" 中,将名为 admin 的 ClusterRole 中的权限授予名称 "bob" 的用户:

    kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme

  • 在名字空间 "acme" 中,将名为 view 的 ClusterRole 中的权限授予名字空间 "acme" 中名为 myapp 的服务账户:

    kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme

  • 在名字空间 "acme" 中,将名为 view 的 ClusterRole 对象中的权限授予名字空间 "myappnamespace" 中名称为 myapp 的服务账户:

    kubectl create rolebinding myappnamespace-myapp-view-binding --clusterrole=view --serviceaccount=myappnamespace:myapp --namespace=acme

kubectl create clusterrolebinding

在整个集群(所有名字空间)中用 ClusterRole 授权。例如:

  • 在整个集群范围,将名为 cluster-admin 的 ClusterRole 中定义的权限授予名为 "root" 用户:

    kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root

  • 在整个集群范围内,将名为 system:node-proxier 的 ClusterRole 的权限授予名为 "system:kube-proxy" 的用户:

    kubectl create clusterrolebinding kube-proxy-binding --clusterrole=system:node-proxier --user=system:kube-proxy

  • 在整个集群范围内,将名为 view 的 ClusterRole 中定义的权限授予 "acme" 名字空间中 名为 "myapp" 的服务账户:

    kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp

kubectl auth reconcile

使用清单文件来创建或者更新 rbac.authorization.k8s.io/v1 API 对象。

尚不存在的对象会被创建,如果对应的名字空间也不存在,必要的话也会被创建。 已经存在的角色会被更新,使之包含输入对象中所给的权限。如果指定了 --remove-extra-permissions,可以删除额外的权限。

已经存在的绑定也会被更新,使之包含输入对象中所给的主体。如果指定了 --remove-extra-permissions,则可以删除多余的主体。

例如:

  • 测试应用 RBAC 对象的清单文件,显示将要进行的更改:

    kubectl auth reconcile -f my-rbac-rules.yaml --dry-run

  • 应用 RBAC 对象的清单文件,保留角色中的额外权限和绑定中的其他主体:

    kubectl auth reconcile -f my-rbac-rules.yaml

  • 应用 RBAC 对象的清单文件, 删除角色中的额外权限和绑定中的其他主体:

    kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-subjects --remove-extra-permissions

查看 CLI 帮助获取详细的用法

服务账户权限

默认的 RBAC 策略为控制面组件、节点和控制器授予权限。 但是不会对 kube-system 名字空间之外的服务账户授予权限。 (除了授予所有已认证用户的发现权限)

这使得你可以根据需要向特定服务账户授予特定权限。 细粒度的角色绑定可带来更好的安全性,但需要更多精力管理。 粗粒度的授权可能导致服务账户被授予不必要的 API 访问权限(甚至导致潜在的权限提升), 但更易于管理。

按从最安全到最不安全的顺序,存在以下方法:

1.为特定应用的服务账户授予角色(最佳实践)

这要求应用在其 Pod 规约中指定 serviceAccountName, 并额外创建服务账户(包括通过 API、应用程序清单、kubectl create serviceaccount 等)。

例如,在名字空间 "my-namespace" 中授予服务账户 "my-sa" 只读权限:

kubectl create rolebinding my-sa-view \
  --clusterrole=view \
  --serviceaccount=my-namespace:my-sa \
  --namespace=my-namespace

2.将角色授予某名字空间中的 "default" 服务账户

如果某应用没有指定 serviceAccountName,那么它将使用 "default" 服务账户。

说明: "default" 服务账户所具有的权限会被授予给名字空间中所有未指定 serviceAccountName 的 Pod。

例如,在名字空间 "my-namespace" 中授予服务账户 "default" 只读权限:

kubectl create rolebinding default-view \
  --clusterrole=view \
  --serviceaccount=my-namespace:default \
  --namespace=my-namespace

许多插件组件kube-system 名字空间以 "default" 服务账户运行。 要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 "default" 服务账户。

说明: 启用这一配置意味着在 kube-system 名字空间中包含以超级用户账号来访问 API 的 Secrets。

kubectl create clusterrolebinding add-on-cluster-admin \
  --clusterrole=cluster-admin \
  --serviceaccount=kube-system:default

3.将角色授予名字空间中所有服务账户

如果你想要名字空间中所有应用都具有某角色,无论它们使用的什么服务账户, 可以将角色授予该名字空间的服务账户组。

例如,在名字空间 "my-namespace" 中的只读权限授予该名字空间中的所有服务账户:

kubectl create rolebinding serviceaccounts-view \
  --clusterrole=view \
  --group=system:serviceaccounts:my-namespace \
  --namespace=my-namespace

4.在集群范围内为所有服务账户授予一个受限角色(不鼓励)

如果你不想管理每一个名字空间的权限,你可以向所有的服务账户授予集群范围的角色。

例如,为集群范围的所有服务账户授予跨所有名字空间的只读权限:

kubectl create clusterrolebinding serviceaccounts-view \
  --clusterrole=view \
  --group=system:serviceaccounts

5.授予超级用户访问权限给集群范围内的所有服务帐户(强烈不鼓励)

如果你不关心如何区分权限,你可以将超级用户访问权限授予所有服务账户。

警告: 这样做会允许所有应用都对你的集群拥有完全的访问权限,并将允许所有能够读取 Secret(或创建 Pod)的用户对你的集群有完全的访问权限。

kubectl create clusterrolebinding serviceaccounts-cluster-admin \
  --clusterrole=cluster-admin \
  --group=system:serviceaccounts

moyu11111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kubernetes CKA考试和真题(上)
weixin_44156535的博客
03-01 1148
CKA考试的介绍,认识和真题分享!
CKA、CKS篇】CKA真题解析—RBAC权限控制扩展
weixin_45842494的博客
10-23 432
注意:clusterbinding不能绑定role,只能绑定clusterrole,而rolebinding既能绑定role又能绑定clusterrole,当rolebinding绑定clusterrole时会使clusterrole降级。说明:clusterrole和role的创建方式基本相同,需要注意的是role需要指定名称空间,因为它是名称空间级别的,而clusterrole不需要指定,因为它是集群级别的。ClusterRole是集群级别的,对集群内所有的名称空间有效。
高分通过kubernetes CKA秘籍
qq_51552268的博客
02-05 810
自己考完cka之后的笔记,有什么不懂之处,留言回答!
cka-真题RBAC
lijian965644856的博客
02-01 466
Task: 创建一个名为deployment-clusterrole的clusterrole,并且对该clusterrole只绑定对Deployment,Daemonset,Statefulset的创建权限 在指定namespace app-team1创建一个名为cicd-token的serviceaccount,并且将上一步创建clusterrole和该serviceaccount绑定 题目解释: 1,touch deployment-clusterrole.yml videploy...
CKA认证题型解析
最新发布
百慕卿君博客
05-15 1396
全网最新K8s cka真题解析
cka-practice-environment:帮助准备CKA认证的示例实验室测试环境
02-03
cka实践环境 准备好环境 确保已安装docker-compose()。 要启动实验室环境,您可以执行以下两个操作之一: 要使用预构建的映像,请运行: docker-compose up -d并将浏览器指向http://localhost 要自己在本地生成...
cka-review-stuffs:CKA审查资料和设置指南
04-18
"cka-review-stuffs" 是一个专为CKA考生准备的资源集合,包含了丰富的学习材料和设置指导,尤其注重了Shell脚本的运用,因为这是CKA考试中常见的一部分。 Shell,作为Linux和Unix系统中用户与操作系统交互的命令...
k8s-CKA-study-guide:认证的Kubernetes助理(CKA)准备
03-09
Kubernetes认证助理(CKA)学习指南 这是我的Kubernetes认证助理(CKA)考试的学习指南。 2小时| 费用$ 300 | K8s 1.20版(2021年1月22日) CKA实验室练习 其他CKA实验室练习 killer.sh_ 不免费但值得 同一模拟...
cka-prep-labs:帮助您准备Kubernetes认证管理员(CKA)考试的实验室
05-16
cka-prep-labs 帮助您准备Kubernetes认证管理员(CKA)考试的实验室 当前的Kubernetes版本 版本:1.9.1 关于GCE设置的Kops /注释 此处描述的实验室使用KOPS工具在GCE上与Kubernetes一起运行。 这里是创建和设置等的...
CKA-practice-exercises:这是通过CNCF认证Kubernetes管理员(CKA)进行练习的指南。 祝你好运!
05-09
https://medium.com/@pmvk/tips-to-crack-certified-kubernetes-administrator-cka-exam-c949c7a9bea1 ...
CKA-英文题目-个人答案-(模拟练习用
大锅霍皮久的博客
03-28 3644
Introduction 做之前记得切换到对应context You can open two browsers Tab, one is the test window,A is used to refer to (official documentation ) Q1:RBAC Create a new ClusterRole named deployment-clusterrole at only allows the creation of the following resource types:
【云原生】CKA 第⼀题:权限控制RBAC
大壮
01-31 554
CKA认证考试是由Linux基金会和云原生计算基金会(CNCF)创建的,以促进Kubernetes生态系统的持续发展。该考试是一种远程在线、有监考、基于实操的认证考试,需要在运行Kubernetes的命令行中解决多个任务。CKA认证考试是专为Kubernetes管理员、云管理员和其他管理Kubernetes实例的IT专业人员而设的。 已获得认证的K8s管理员具备了进行基本安装以及配置和管理生产级Kubernetes集群的能力。他们将了解Kubernetes网络、存储、安全、维护、日志记录和监控、应用
CKA、CKS篇】CKA真题解析—RBAC权限控制
weixin_45842494的博客
10-22 670
这个专栏我们进行CKA和CKS的真题讲解,题目出自CKA和CKS题库。掌握了这些题目,对于CKA和CKS考试将会变得非常简单。根据以往的经验,甚至有原题出现,最多就是参数等的变化。由于资料是花钱买的,所以这个专栏将收取一定费用,有兴趣的小伙伴可以订阅,我将持续更新,教给大家做题的方法和技巧,理清思路,并且将涉及到的知识点做进一步的补充说明,希望各位小伙伴能学到知识,当然还盼望大家升职加薪。
k8s创建普通用户
whz-emm的博客
10-27 1668
创建私钥 下面的脚本展示了如何生成 PKI 私钥和 CSR。 设置 CSR 的 CN 和 O 属性很重要。CN 是用户名,O 是该用户归属的组。 CN : common name 名字 O : orgnization 组 openssl genrsa -out myuser.key 2048 openssl req -new -key myuser.key -out myuser.csr -subj "/CN=myuser/O=myo" 创建 CertificateSignin...
RBAC角色访问控制
识途老码
01-29 3320
参考: https://www.toutiao.com/i6942467217019666952/?wid=1643459986078user不能直接创建参考: https://kubernetes.io/zh/docs/reference/access-authn-authz/authentication/#service-account-tokens用的是 创建完成,其对应的信息由更新可以简写为 创建ServiceAccount(服务账户) 参考: https://kubernetes.io/zh/d
CKA1.19版本2020年最新版本真题,第一题RBAC
qq_43891456的博客
10-28 5321
CKA1.19真题 备注:题目全部真实可靠,有考试截图验证。题目顺序非考试顺序,在我考完后同事去参加考试遇到的题目和我的完全一直,但是顺序会有颠倒,祝各位都能顺利通过考试 第一题:RBAC 创建一个名为deployment-clusterrole的clusterrole,并且对该clusterrole只绑定对Deployment,Daemonset,Statefulset的创建权限 在指定namespace app-team1创建一个名为cicd-token的serviceaccount,并且将上
kubernets(CKA):管理基于角色的访问控制,RBAC(一)
weixin_43856535的博客
04-19 243
RBAC前言一、RBAC鉴权是什么?二、基本意义1.Role 和 ClusterRole2.读入数据总结 前言 复习CKA基本知识 一、RBAC鉴权是什么? 基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对 计算机或网络资源的访问的方法。 二、基本意义 1.Role 和 ClusterRole RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 Role 总是用来在某个namespace 内设置访问权限;在你创建 Role 时,你必须指定该
CKA1.20】练习题 - RBAC
Coming
03-29 645
目录 1 RBAC 1.题目 2.解析&参考答案 1 RBAC 1.题目 创建名称 deployment-clusterrole 的 ClusterRole 该角色具备创建 Deployment、Statefulset、Daemonset 的权限 在命名空间 app-team1 中创建名称为 cicd-token 的 ServiceAccount 绑定 ClusterRole 到 ServiceAccount,且限定命名空间为 app-team1 原题英文说明如下: .
备战CKA每日一题——第11天 | k8s访问控制RBAC、Role、RoleBinding,并引出kubectl常用命令
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-03 1165
k8s访问控制RBAC、Role、RoleBinding,并引出kubectl常用命令
2021 CKA-CKS备考策略:官方资源与实战指南
在准备2021年的CKA-CKS(Kubernetes管理员/专家)认证考试时,这份备考攻略提供了全面的学习指南和策略。首先,让我们深入了解这两个认证: 1. **CKA (Certified Kubernetes Administrator)**: 作为认证的管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值