kubernetes访问控制(认证、授权、准入控制..+ 拉取私有仓库镜像策略)

最新推荐文章于 2024-04-29 23:30:00 发布
最新推荐文章于 2024-04-29 23:30:00 发布
阅读量538 收藏 1
点赞数
分类专栏: 企业部分 文章标签: kubernetes 访问控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ninimino/article/details/115216140
版权

kubernetes API 访问控制

图片转载
在这里插入图片描述

  • Authentication(认证)

    • 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。

    • Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。

  • Authorization(授权)
    必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。

  • Admission Control(准入控制)
    用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验

访问k8s的API Server的客户端主要分为两类:

  • kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
  • pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多。

kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作。
$ kubectl proxy --port=8888 &
$ curl http://localhost:8888/api/v1/namespaces/default
$ curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments

以上两种api的区别是:
api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
apis 它是一般API访问的入口固定格式名。

  • UserAccount与serviceaccount:
    用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
    用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
    通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

  • 创建serviceaccount

  • $ kubectl create serviceaccount admin
    serviceaccount/admin created

[root@server2 ~]#  kubectl describe sa admin  ## //此时k8s为用户自动生成认证信息,但没有授权
Name:                admin
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   admin-token
最低0.47元/天 解锁文章
ninimino
关注
专栏目录
kubernetes调度
LinuxOs of Internet
03-04 239
一.kubernetes调度 1.调度器通过 kubernetes 的 watch 机制来发现集群中新创建且尚未被调度到 Node 上的 Pod。调度器会将发现的每一个未调度的 Pod 调度到一个合适的 Node 上来运行。 2.kube-scheduler 是 Kubernetes 集群的默认调度器,并且是集群控制面的一部分。如果你真的希望或者有这方面的需求,kube-scheduler 在设计上是允许你自己写一个调度组件并替换原有的 kube-scheduler。 3.在做调度决定时需要考虑的因素包括:
81、k8s网络配置以及k8s拉取私有仓库
最新发布
m0_74149099的博客
08-27 1388
----------------------------以上做仓库指向--------------------------------------pod的ip地址进行封装,通过node节点作为路由器,转发到其他的node节点,其他的node节点收到数据包之后解包,把数据包转发到指定的pod。pod内部容器的通信,pod创建完成之后,集群会分配pod一个全局的唯一ip地址。flannel的功能简单,不具备复杂的网络策略的配置能力。calico------->veth-pair虚拟设备,一个虚拟的网卡。
K8S - 各节点的kube-flannel-ds-amd64-xxxxx不能正常启动的问题
crabdave的博客
04-29 1058
- pods "kube-flannel-ds-amd64-xxxxx" is forbidden: User "system:serviceaccount:kube-system:flannel" cannot get resource "pods" in API group "" in the namespace "kube-system"
kubeadm k8s配置 ceph rbd存储 类型storageClass
不懂代码的胖子
03-14 2516
k8s的storageclass,实现pvc的动态创建,绑定 一、安装ceph 1、Install with RBAC roles 参考:https://github.com/kubernetes-incubator/external-storage/tree/master/ceph/rbd/deploy #cat rbd-provisioner.yaml kind: ClusterRole ...
kubernetes dashboard 授权/权限/角色绑定问题导致页面报错
rockstics的博客
02-16 7348
报错: namespaces is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “namespaces” in API group “” at the cluster scope system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard events is forbidden:
kubernetes(k8s):访问控制认证+授权+准入控制
weixin_43936969的博客
05-24 4294
文章目录1. kubernetes API 访问控制2. 认证 Authentication1 访问k8s的API Server的客户端2 UserAccountserviceaccount2.1 创建serviceaccount:2.2 添加secrets到serviceaccount中2.3 把serviceaccount和pod绑定起来2.4 创建useraccount3. 授权 Authorization3.1RBAC基于角色访问控制授权3.2 RoleBinding角色绑定3.3Cluste
Kubernetes基础入门(完整版)
starsray的博客
07-01 9340
简介 Kubernetes这个名字源于希腊语,意为"舵手"或"飞行员”。k8s这个缩写是因为k和s之间有八个字符。Google在 2014年开源了Kubernetes项目,Kubernetes是一个用于自动化部署、扩展和管理容器化应用程序的开源系统。同样类似的容器编排工具还有docker swarm/mesos等,但kubernetes应用最为广泛,社区更为活跃。 kubernetes主要包含了...
容器技术---(三)kubernetes存储
sss
11-30 275
Configmap配置管理 Configmap用于保存配置数据,以键值对形式存储;ConfigMap资源提供了向Pod注入配置数据的方法,旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性;典型的使用场景有:填充环境变量的值、设置容器内的命令行参数、填充卷的配置文件 创建ConfigMap的方式有4种:使用字面值创建、使用文件创建、使用目录创建、编写configmap的yaml文件创建 ##使用字面值创建,键值对的方式 ##使用文件创建,文件名为key,文件内容为值 ##使
kubernetes(k8s) : 基本概念+集群的部署
weixin_43936969的博客
04-26 938
文章目录1.什么是kuberneteskubernetes的优点:2. kubernetes设计架构3. Kubernetes部署基础环境部署集群部署 1.什么是kubernetes 官方中文文档:https://www.kubernetes.org.cn/docs 它是一个全新的容器技术的分布式架构领先方案。Kubernetes(k8s)是Google开源的容器集群管理系统(谷歌内部:Bor...
pods is forbidden: User "system:serviceaccount:kube-system:namespace-controller" cannot create resou
jstang的博客
09-11 1万+
Web UI部署参考自 https://blog.csdn.net/weixin_41806245/article/details/89381752 解决方案参考自https://www.cnblogs.com/harlanzhang/p/10045975.html 部署完K8sWeb UI后,在Web上部署Pod、Service、RS、RC等资源报错 报错信息: pods is forbid...
k8s安装遇到问题合集
努力工作学习的程序员
04-13 964
或有类似的问题,大部分都是kube-flannel.yml的问题,这里建议使用我的文件上传到主节点即可。根据上图可以很明显看到,dashboard的数据包直接被REJECT(拒绝)了,找到原因就好办了,设置成允许(ACCEPT)就行。dashboard的镜像拉取成功,容器创建成功,但容器在启动的时候启动失败,状态为CrashLoopBackOff。4)把创建的dashboard pod删掉并重启下docker,再次创建dashboard,创建成功。从节点解压完成后在主节点查看所有节点状态都是ready。
system:serviceaccount:kube-ops:jenkins“ cannot list resource “pods“ in API group ““ in the namespace
qq_48349180的博客
10-17 1705
在我们使用k8s部署jenkins访问jenkins进行连接k8s集群时报错,这个问题是在2021年11月到至今博主又遇到此问题,发现竟是部署jenins的yaml文件中clusterrolebinding中的serviceaccount中的namespace写错了导致的,需在clusterrolebinding填写serviceaccount创建时的namespace。文章简短希望能给大家带来实用性的文档。
k8s权限配置(ServiceAccount、Role、ClusterRole)
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
k8s之service account
fengcai_ke的博客
07-11 3636
k8s service account分析
k8s集群使用私有镜像仓库
wuzhenxu1995的博客
04-25 889
k8s集群使用私有镜像仓库
Linux实战笔记-----Kubenetes访问控制
猴子请来的救兵
08-03 205
kubernetes访问控制 简介: 访问控制分为三种 1.Authentication(认证) • 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再 进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证 方式。 • Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和 (Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不
k8s查看pod日志报错 Error from server (Forbidden)
Jerry00713的博客
07-19 5702
这个错误是说kube-apiserver这个用户没有权限查看日志,我们要给这个用户一个admin的角色权限就好了。查看pod日志时,报权限错误。二进制搭建的k8s集群。
kuberneteskubernetes api访问控制、useraccountserviceaccount的创建和绑定、rbac基于角色的访问授权
weixin_43384009的博客
05-07 3171
kubernetes1. kubernetes api访问控制2. 访问k8s的API Server的客户端3. UserAccountserviceaccount3.1 创建serviceaccount:3.2 添加secrets到serviceaccount中3.3 把serviceaccount和pod绑定起来:3.4 创建useraccount4. RBAC基于角色访问控制授权4.1 R...
Docker实战:企业私有镜像仓库Kubernetes安全部署
在本篇文章中,我们将深入探讨在Kubernetes(kurbernetes)环境下搭建私有Docker镜像仓库的实战过程。主要目标是确保企业内部的安全性和成本效益,因为使用公共Docker Hub虽然方便,但其公开性质可能导致数据泄露,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值