k8s的rbac授权操作

最新推荐文章于 2024-04-20 07:30:00 发布
最新推荐文章于 2024-04-20 07:30:00 发布
阅读量455 收藏 1
点赞数
分类专栏: Devops工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myz_lemon/article/details/112591224
版权 
只说操作不来理论哈
rbac是以插件形式串运行

Role        ---> RoleBinding  //作用于用户空间
ClusterRole ---> ClusterRoleBinding   //使用于集群级别

--创建私钥及证书--
openssl genrsa -out kuber1.key 2048
openssl  req -new -key kube-user1.key -out kube-user1.csr -subj "/CN=kube-user1/O=kubernetes"
openssl x509 -req -in kube-user1.csr -CA /opt/kubernetes/ssl/ca.pem  -CAkey /opt/kubernetes/ssl/ca-key.pem -CAcreateserial  -out kube-user1.crt -days 3650
kubectl config set-cluster mk8s --embed-certs=true --certificate-authority=/opt/kubernetes/ssl/ca.pem --server="https://192.168.0.81:6443"
kubectl  config set-credentials kube-user1 --embed-certs=true --client-certificate=/root/k8s_config/kube-user1.crt --client-key=/root/k8s_config/kube-user1.key
kubectl  config set-context kube-user1@mk8s --cluster=mk8s --user=kube-user1



kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: testing #所属名称空间
  name: my-pod
rules:
  - apiGroups: [""] #表示 core API group
    resources: ["pods","pods/log","services"] #可以访问的资源类型
    verbs: ["get","list","watch"]     #get,list,create,update,watch,proxy,redirect,delete and deletecollection

---
#rolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-reader
  namespace: testing
subjects:
  - kind: User #要引用的资源对象(主体)所属的类型,可用值为"User","Group""ServiceAcount"
    name: kube-user1 #引用主体的名称
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role #引用的资源所属的类别,可以用值为Role或ClusterRole,必选
  name: my-pod  # 引用的资源名称
  apiGroup: rbac.authorization.k8s.io #引用资源(Role或ClusterRole)所属的API群组,必选



kubectl  config use-context kube-user1@mk8s
Switched to context "kube-user1@mk8s".

kubectl  config get-contexts
CURRENT   NAME                     CLUSTER      AUTHINFO      NAMESPACE
          default                  default      admin
*         kube-user1@mk8s          mk8s         kube-user1
          lemon-admin@kubernetes   kubernetes   lemon-admin
          lemon@kubernetes         kubernetes   lemon

kubectl  get pods
Error from server (Forbidden): pods is forbidden: User "kube-user1" cannot list resource "pods" in API group "" in the namespace "default"

kubectl  get pod -n testing
No resources found in testing namespace.


kubectl  get service
Error from server (Forbidden): services is forbidden: User "kube-user1" cannot list resource "services" in API group "" in the namespace "default"

kubectl  config use-context default
Switched to context "default".

#增加service资源
resources: ["pods","pods/log","service"]

kubectl apply -f role.yaml

kubectl  config use-context kube-user1@mk8s
Switched to context "kube-user1@mk8s".

Error from server (Forbidden): services is forbidden: User "kube-user1" cannot list resource "services" in API group "" in the namespace "testing": RBAC: role.rbac.authorization.k8s.io "services-admin" not found

kubectl  config use-context default
Switched to context "default".


kubectl create rolebinding lemon-admin-service --role=services-admin --user=kube-user1 -n testing
rolebinding.rbac.authorization.k8s.io/lemon-admin-service created



----------------------------------------------------------------------------------------
ClusterRole和ClusterRolebinding
 集群级别的角色资源和ClusterRole资源消除了能够管理与Role资源一样的许可权限之外,还可以用于集群组件的授权,配置方式及其在rule字段
 中可以嵌套也与Role资源类似。


#ClusterRole是集群级别不需要使用metadata.namespace字段
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: my-node-reader
rules:
  - apiGroups: [""]
    resources: ["nodes"]
    verbs: ["get","watch","list"]


---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: my-healthz-admin
rule:
  - nonResourceURLs:
    - /heatlhz
    verbs:
      - get
      - create

---

##聚合类型ClusterRole

---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: my-monitoring
aggregationRule:
  clusterRoleSelectors:
    - matchLabels:
        rbac.example.com/aggregate-to-monitoring: "true"
rules: []


---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: my-monitoring-endpoints
  lables:
    rbac.example.com/aggregate-to-monitring: "true"
# These rules will be added to the "monitroing  role
rules:
  - apiGroups: [""]
    resources: ["services","endpoints","pods"]
    verbs: ["get","list","watch"]



------------------------------------------------------------------------------------------------
面向用户内的内建ClusterRole
API Server内建立了一组默认的ClusterRole和ClusterRoleBinding以预留系统使用,其中大多数都以"system:"为前缘,另外一些
还有一些非以"system:"为前缘的默认的role资源,它们总是为面向用户的需求而设计的,包括超级用户角色(cluster-admin)用于授权收集
集群级别的权限的ClusterRoleBinding(Cluster-status)以授予特定的名称空间级别权限的RoleBinding(admin,edit,view).
[cluster-admin,cluster-status,admin,edit,view]

内建的ClusterRole资源cluster-admin拥有管理集群所有资源的权限,它基于同名的ClusterRoleBinding资源绑定到了"system:masters"
组上,这意味着所有隶属于此组的用户都将具有集群的超级管理管理权限。
/O=system:master/CN=kubernetes-admin

CluserRoeBindind用RoleBinding用法
kubectl create deployment my-dep --image=busybox -n testing
Error from server (Forbidden): deployments.apps is forbidden: User "kube-user1" cannot create resource "deployments" in API group "apps" in the namespace "testing": RBAC: role.rbac.authorization.k8s.io "services-admin" not found



#加入管理员群组(集群级别的权限)
kubectl create rolebinding dev-admin --clusterrole=cluster-admin --user=kube-user1 -n testing
rolebinding.rbac.authorization.k8s.io/dev-admin created
kubectl create deployment my-dep --image=busybox -n testing
deployment.apps/my-dep created



###ClusterRole 和ClusterRoleBinding实战:

openssl genrsa -out kube-user2.key 2048
openssl  req -new -key kube-user2.key -out kube-user2.csr -subj "/CN=kube-user2/O=lk8s"
openssl x509 -req -in kube-user2.csr -CA /opt/kubernetes/ssl/ca.pem  -CAkey /opt/kubernetes/ssl/ca-key.pem -CAcreateserial  -out kube-user2.crt -days 3650
kubectl config set-cluster lk8s --embed-certs=true --certificate-authority=/opt/kubernetes/ssl/ca.pem --server="https://192.168.0.81:6443"
kubectl  config set-credentials kube-user2 --embed-certs=true --client-certificate=/root/k8s_config2/kube-user2.crt --client-key=/root/k8s_config2/kube-user2.key
kubectl  config set-context kube-user2@lk8s --cluster=lk8s --user=kube-user2



openssl genrsa -out kube-mfz.key 2048
openssl  req -new -key kube-mfz.key -out kube-mfz.csr -subj "/CN=kube-mfz/O=mfzlk8s"
openssl x509 -req -in kube-mfz.csr -CA /opt/kubernetes/ssl/ca.pem  -CAkey /opt/kubernetes/ssl/ca-key.pem -CAcreateserial  -out kube-mfz.crt -days 3650
kubectl config set-cluster mfzlk8s --embed-certs=true --certificate-authority=/opt/kubernetes/ssl/ca.pem --server="https://192.168.0.81:6443"
kubectl  config set-credentials kube-mfz --embed-certs=true --client-certificate=/root/k8s_config2/kube-mfz.crt --client-key=/root/k8s_config2/kube-mfz.key
kubectl  config set-context kube-mfz@mfzlk8s --cluster=mfzlk8s --user=kube-mfz


kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: cluster-mfz-role
rules:
  - apiGroups: [""]
    resources: ["pods","deployments"]
    verbs: ["get","watch","list","create","delete"]



apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluser-mfz-clusterrolebinding
subjects:
  - kind: User
    name: kube-mfz
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-mfz-role
  apiGroup: rbac.authorization.k8s.io


kubectl  get deployments
Error from server (Forbidden): deployments.apps is forbidden: User "kube-mfz" cannot list resource "deployments" in API group "apps" in the namespace "default"

#加入具有deployments权限的组里
kubectl create clusterrolebinding mfz-admin --clusterrole=system:controller:deployment-controller --user=kube-mfz
clusterrolebinding.rbac.authorization.k8s.io/mfz-admin created


#测试访问
kubectl  get deployments
NAME                     READY   UP-TO-DATE   AVAILABLE   AGE
db                       2/2     2            2           15d
memched-operator         1/1     1            1           11d
nfs-client-provisioner   1/1     1            1           65d
school-operator          1/1     1            1           35h
student                  15/15   15           15          35h
柠檬(lemon)
关注
专栏目录
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1608
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
Kubernetes之RBAC授权控制
weixin_43297299的博客
05-26 672
01、前言 众所周知,kubernetes API是kubernetes的核心组件,kubernetes API以REST接口的形式将Pods、Service、Deployment等信息定义为资源,而这些资源我们又是怎样操作它们的呢?在kubernetes 1.6之后社区逐渐使用RBAC的认证模式,下面将会详细介绍这种认证模式。 02、kubernetes的认证机制   1)如何访问kubernetes API 使用者可以通过kubectl客户端、各个代码语言的客户端库程序或者通过发送REST请求来
Kubernetes(k8s)权限管理RBAC
驰兔的博客
03-13 977
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
k8s 基于RBAC授权
qq_15138049的博客
07-02 388
k8s rabc
kubernetes系列之《k8s基于RBAC授权
西西工作室
04-02 1018
一、RBAC介绍 基于角色的访问控制(Role-Based Access Control,即“RBAC”)使用“rbac.authorization.k8s.io” Apo Group实现授权决策,允许管理员通过Kubernetes Api动态配置策略。 要启用RBAC,请使用 --authorization-mode=RBAC启动API Server。 在RABC API中,通过如下的步骤进行授...
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 1878
RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
k8sRBAC授权模式
weixin_37337210的博客
01-13 1066
导读 上一篇说了k8s授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色的访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式)。 --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kube.
k8s:RBAC
m0_50434960的博客
03-12 461
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
k8s 基于RBAC的认证、授权介绍和实践
「 虚幻私塾」
01-23 880
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
k8s,盘他!k8s的安全机制与RBAC使用方法
CN_TangZheng的博客
05-21 1234
文章目录前言一:k8s安全机制1.1:kubernetes安全框架1.2:第一关:Authentication认证1.3:第二关:Authorization授权1.3.1:RBAC使用测试1.4:第三关:准入控制Admission Control如有疑问可评论区交流! 前言 一:k8s安全机制 安全框架、 传输安全、认证,授权,准入控制 使用rbac授权 1.1:kubernetes安全框架 安全框架的流程 流程:kubectl先请求api资源,然后是过三关,第一关是认证(Authenticatio
K8S认证、授权与准入控制(RBAC)详解
weixin_33915554的博客
04-17 858
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
k8s rbac
SHELLCODE_8BIT的博客
03-10 1495
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
k8s-RBAC
kxq的博客
12-22 628
一、认证 1.进入到证书目录 cd /etc/kubernetes/pki/ 2.创建kxq用户的私钥 (umask 077; openssl genrsa -out kxq.key 2048 ) 3.创建kxq用户的证书 openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq" 4.利用ca.crt,ca.key进行签证 [root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.cr
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1066
K8s上的RBAC设计和实现方式说明
K8s RBAC认证授权深度解析
最新发布
博客虽小,世界尽在其中
04-20 2309
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
K8sRBAC模型
s1056481432的博客
03-16 220
RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群中的身份有两种:用户(User)和服务账号(Service Account),其中service account是k8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa中的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。
k8s基础11——安全控制之RBAC用户授权RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1806
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权
Kubernetes K8S之鉴权RBAC详解
weixin_45032957的博客
12-16 778
RBAC API类型 RBAC API 所声明的四种顶级类型【Role、ClusterRole、RoleBinding 和 ClusterRoleBinding】。用户可以像与其他 API 资源交互一样,(通过 kubectl API 调用等方式)与这些资源交互。 Role 和 ClusterRole 在 RBAC API 中,一个角色包含一组相关权限的规则。权限是纯粹累加的(不存在拒绝某操作的规则),即只能给权限累加,不存在给了XX权限,然后去掉XX01权限的情况。角色可以用 Role 来定义到某个命名空
K8S RBAC介绍
小单的博客专栏
03-19 5368
在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。所以RBAC也就...
k8s rbac 在业务服务中如何应用
05-12
Kubernetes RBAC(基于角色的访问控制)提供了一种灵活的方式来管理 Kubernetes 集群资源的访问权限。在业务服务中,RBAC 可以应用于以下方面: 1. 对不同用户或团队进行授权:通过创建不同的角色和角色绑定,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值