kube-apiserver授权

已于 2022-07-03 21:31:28 修改
阅读量270 收藏
点赞数
分类专栏: 云原生 文章标签: kubernetes 云原生
于 2022-05-16 18:16:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaotl/article/details/124801057
版权

kube-apiserver授权是用于控制对集群资源的访问控制,和认证类似,kubernetes也支持多种授权机制,并支持同时开启多个授权插件(只要有一个验证通过即可)。如果授权成功,请求会发到准入模块做进一步的请求验证,对于授权失败的请求会返回403,kubernetes支持的授权插件包括ABAC/RBAC/Webhook/Node方式。接下来将主要介绍很常用的RBAC授权模式。基于角色的访问控制(Role-Based Access Control,即”RBAC”)使用 rbac.authorization.k8s.io API Group 实现授权决策,允许管理员通过 Kubernetes API 动态配置策略。RBAC的工作原理如下所示:

首先Kubernetes中账户区分为:User Accounts(用户账户) 和 Service Accounts(服务账户) 两种,它们的设计及用途如下:

  • UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,使用kubectl命令时用的就是UserAccount账户;UserAccount是全局性。在集群所有namespaces中,名称具有唯一性,默认情况下用户为admin;(查看命令:cd ~/.kube; cat config)
  • ServiceAccount是给运行在Pod的程序使用的身份认证,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;ServiceAccount仅局限它所在的namespace,每个namespace都会自动创建一个default service account;创建Pod时,如果没有指定Service Account,Pod则会使用default Service Account。

Role和ClusterRole的区别,Role控制namespace范畴下的资源操作查看权限,ClusterRole控制一个集群下的资源操作查看权限。 User可以绑定Role也可以绑定ClusterRole。

上次在演示X509认证过程中,创建了myuser,当时给该user创建了role(具备default namespace下的一些pod查看操作权限),但是没有分配其他namespace资源操作权限,现在接着使用该user来看看如何完成RBAC的授权。检查目前用户的权限,可以看到查看default namespace的pod可以正常查看到,如果查看kube-system namespace下的pod会提示无权限查看。

接下来就看看如何通过创建role,rolebinding给myuser进行赋权,让其能访问kube-system namespace下的资源权限。

创建Role的yaml文件内容如下所示:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: kube-system
  name: pod-reader
rules:
  - apiGroups: [""] # "" 标明 core API 组
    resources: ["pods"]
    verbs: ["get", "watch", "list"]

创建Rolebinding文件内容如下所示:

apiVersion: rbac.authorization.k8s.io/v1
# 此角色绑定允许 "myuser" 读取 "kube-system" 名字空间中的 Pods
kind: RoleBinding
metadata:
  name: read-pods
  namespace: kube-system
subjects:
  # 你可以指定不止一个“subject(主体)”
  - kind: User
    name: myuser # "name" 是区分大小写的
    apiGroup: rbac.authorization.k8s.io
roleRef:
  # "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系
  kind: Role # 此字段必须是 Role 或 ClusterRole
  name: pod-reader     # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配
  apiGroup: rbac.authorization.k8s.io

通过命令在kube-system namespace下创建Role和Rolebinding.

kubectl create -f role.yaml -n kube-system
kubectl create -f rolebinding.yaml -n kube-system

 再次通过myuser获取kube-system namespace下面的pod信息,可以看到正确返回了pod信息。

除了对User或者SA赋权外,还可以对Group进行赋权,对Group进行赋权后,整个Group下的User都具备了被赋予的权限。如果是对Group进行赋权,将subjects下的kind修改为Group即可。例如,对已经通过认证和未通过认证的用户进行赋权。

subjects:
- kind: Group
  name: system:authenticated
  apiGroup: rbac.authorization.k8s.io
- kind: Group
  name: system:unauthenticated
  apiGroup: rbac.authorization.k8s.io

以上就是kube-apiserver授权过程。

taoli-qiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubeapiServer学习
一直行走在路上
04-27 1万+
apiserver相当于是k8集群的一个入口,不论通过kubectl还是使用remote api 直接控制,都要经过apiserverapiserver说白了就是一个server负责监听指定的端口. main函数的代码位于./kubernetes/cmd/kube-apiserver: func main() { runtime.GOMAXPROCS(runtime.NumCPU
kube-apiserver鉴权源码简析
nangonghen的博客
11-19 514
kube-apiserver的鉴权其实so easy
Kubernetes API Server源码学习(三):KubeAPIServerAPIExtensionsServer、AggregatorServer
hxt的博客
06-22 1273
本文基于Kubernetes v1.22.4版本进行源码学习。
k8s APIserver 安全机制之 rbac 授权
热门推荐
高飞的博客
11-11 25万+
k8s 认证、授权、准入控制机制
深入理解Kube-APIServer
Kason_iWiki
01-18 3762
文章目录API Server访问控制概览访问控制细节认证认证插件 API Server kube-apiserverKubernetes最重要的核心组件之一,主要提供以下的功能 • 提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更等 • 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd) 访问控制概览 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及
kube-apiserver.rar
01-09
kube-apiserverKubernetes集群的核心支柱》 在Kubernetes(简称k8s)这个强大的容器编排系统中,kube-apiserver是整个生态系统的心脏,它是k8s集群的关键组件,负责处理所有的API请求,提供集群状态的存储,并...
kuberneteskube-apiserver-v1.21.14.tar.gz下载
11-03
2. **认证与授权**:在允许任何请求访问集群之前,`kube-apiserver`会验证客户端的身份,并执行授权检查,确保只有授权的用户和系统组件可以执行操作。 3. **状态存储**:它将所有集群状态信息存储在etcd中,一个...
Kubernetes部署kube-state-metrics
02-23
kube-state-metrics通过Kubernetes API server的Watch机制实时监控对象的状态变化,当检测到变化时,它会生成相应的度量。生成的度量数据包括但不限于: - Pod的生命周期状态(如Pending、Running、Succeeded、...
kuberneteskube-scheduler下载
11-03
在实际部署中,你还需要确保`kube-apiserver`、`kube-controller-manager`等其他核心组件也正常工作,并且整个集群的网络通信、认证授权都已配置妥当。此外,`kube-scheduler`的策略可以通过插件进行扩展,允许...
kubernetes-v1.16.2-server-linux-amd64.tar.gz
12-15
通过下载"**kubernetes-v1.16.2-server-linux-amd64.tar.gz**"这个压缩包,我们可以获取到k8s的核心组件,包括kube-apiserverkube-controller-manager、kube-scheduler、kubelet和kube-proxy等。这些二进制文件...
kube-apiserver功能特性
qq1010267837的博客
05-27 3236
apiserver 提供了对各类资源对象,如 Pod、Service、Deployment、CRD 等的增删改查,以及 Watch 的 API 接口,是整个集群的操作入口。 kube-apiserverKubernetes 最重要的核心组件之一,主要提供以下的功能 提供集群管理的 REST API 接口,包括认证授权、数据校验以及集群状态变更等 提供其他模块之间的数据交互和通信的枢纽(其他模块通过 API Server 查询或修改数据,只有 API Server 才直接操作 etcd) kube
kubernetes】部署kube-apiserverkubectl
weixin_45842494的博客
06-20 937
二进制部署kubernetes集群在企业应用中扮演着非常重要的角色。无论是集群升级,还是证书设置有效期都非常方便,也是从事云原生相关工作从入门到精通不得不迈过的坎。通过本系列文章,你将从虚拟机准备开始,到使用二进制方式从零到一搭建起安全稳定的高可用kubernetes集群,对各个组件的部署过程有一个清晰的认识。我将展现完整的集群搭建过程,重点部分将进行说明。并提供一站式、完整的资源文件包。希望通过本系列的学习,你能真正学习到有价值的知识,更好得应对工作中遇到的问题。如有疑问,可扫码联系我。
Kubernetes_APIServer_APIServer简介
毛毛的专栏
03-26 4348
api serverKubernetes 集群的网关。它是 Kubernetes 集群中的所有用户、自动化和组件都可以访问的中心接触点。API Server通过 HTTP 实现 RESTful API,执行所有 API 操作,并负责将 API 对象存储到持久存储后端。
kube-apiserver
yangbosos的博客
04-16 2382
简述 kube-apiserver 是k8s 最重要的核心之一,主要功能如下: -提供集群管理的rest api接口,包括认证授权、数据校验一级集群状态变更等; -提供与其他模块之间的数据交互和通信 特:其他模块通过api server 查询或修改数据,只有api server能直接操作etcd数据库 工作原理 kube-apiserver提供了k8s的rest api,实现了认证、授...
【攻防】Kubelet访问控制机制与提权方法研究
HBohan的博客
08-20 368
背景 近些年针对kubernetes的攻击呈现愈演愈烈之势,一旦攻击者在kubernetes集群中站稳脚跟就会尝试渗透集群涉及的所有容器,尤其是针对访问控制和隔离做的不够好的集群受到的损害也会越大。例如由unit 42研究人员检测到的TeamTNT组织的恶意软件Siloscape就是利用了泄露的AWS凭证或错误配置从而获得了kubelet初始访问权限后批量部署挖矿木马或窃取关键信息如用户名和密码,组织机密和内部文件,甚至控制集群中托管的整个数据库从而发起勒索攻击。根据微步在线的统计上一次遭受其攻击的IP地址
【转载】kube-apiserverapiserver service 的实现
白开水的博客
07-18 859
kubernetes,可以从集群外部和内部两种方式访问 kubernetes API,在集群外直接访问 apiserver 提供的 API,在集群内即 pod 中可以通过访问 service 为 kubernetes 的 ClusterIP。kubernetes 集群在初始化完成后就会创建一个 kubernetes service,该 service 是 kube-apiserver 创建并进行维护的。 引用地址: 作者:田飞雨 链接:https://www.jianshu.com/p/06fb76bd
kube-apiserver原理报告
最新发布
qq_42944740的博客
04-03 929
CRDAA无需编程。用户可选任何语言来实现 CRD 控制器需要编程,并构建可执行文件和镜像。无需额外运行服务;CRD 由 API 服务器处理需要额外创建服务,且该服务可能失效。一旦 CRD 被创建,不需要持续提供支持。Kubernetes 主控节点升级过程中自动会带入缺陷修复。可能需要周期性地从上游提取缺陷修复并更新聚合 API 服务器。无需处理 API 的多个版本;例如,当你控制资源的客户端时,你可以更新它使之与 API 同步。需要处理 API 的多个版本;
关于 Kuberneteskube-apiserver的一些笔记
山河已无恙
12-17 2809
年轻游侠儿泪眼模糊,凄然一笑,站起身,拿木剑对准墙壁,狠狠折断。 此后江湖再无温华的消息,这名才出江湖便已名动天下的木剑游侠儿,一夜之间,以最决然的苍凉姿态,离开了江湖。 刺骨大雪中,他最后对自己说了一句。 “不练剑了。” ——烽火戏诸侯《雪中悍刀行》
kubernetes部署-kube-api(三)
黑白企鹅
03-01 525
kubernetes部署-kube-api 部署kube-api组件 在node也就是controller节点部署api服务 生成k8s证书 用来连接api的证书 mkdir /data/ssl/k8s cd /data/ssl/k8s vim k8s-ssl.sh # cat ca-config.json cat > ca-config.json <&...
k8s.gcr.io/kube-apiserver
04-29
kube-apiserver还提供了各种身份认证和授权机制,以确保客户端的请求能够被正确地处理,并保障Kubernetes集群的安全性和稳定性。此外,kube-apiserver还提供了扩展性插件机制,可以通过使用插件,对API Server的行为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

taoli-qiao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值