Kubernetes RBAC实战

最新推荐文章于 2024-10-14 16:09:10 发布
最新推荐文章于 2024-10-14 16:09:10 发布
阅读量346 收藏 10
点赞数 4
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingmu_kai/article/details/141605204
版权

简介

kubernetes集群相关的所有交互都通过apiserver完成,在这样的集中式管理系统中,权限管理尤其重要。kubernetes 1.5+版本引入RBAC(Role Base Access Control)的权限控制机制正是满足这样一种条件下的权限控制功能。

[root@k8s nginx]# grep -C3 'authorization-mode' /etc/kubernetes/manifests/kube-apiserver.yaml

在这里插入图片描述
API Server目前支持以下几种授权策略:

  • AlwaysDeny:表示拒绝所有请求,一般用于测试。
  • AlwaysAllow:允许接收所有请求。 如果集群不需要授权流程,则可以采用该策略,这也是Kubernetes的默认配置。
  • ABAC(Attribute-Based Access Control):基于属性的访问控制。
    表示使用用户配置的授权规则对用户请求进行匹配和控制。
  • Webhook:通过调用外部REST服务对用户进行授权。
  • RBAC:Role-Based Access Control,基于角色的访问控制(本章讲解)。
  • Node:是一种专用模式,用于对kubelet发出的请求进行访问控制。

更多权限管理,可参考:http://docs.kubernetes.org.cn/51.html#Kubernetes

关系图如下:

在这里插入图片描述

实战

1.创建认证密钥及证书 

[root@k8s rbac]# openssl genrsa -out devuser.key  
[root@k8s rbac]# openssl req -new -key devuser.key -subj "/CN=devuser" -out devuser.csr 
[root@k8s rbac]# openssl x509 -req -in devuser.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out devuser.crt -days 365

2.创建用户,role及rolebinding 

1.创建user:devuser
[root@k8s rbac]# kubectl config set-context devuser@kubernetes --cluster=kubernetes --user=devuser --namespace=dev


[root@k8s rbac]# kubectl config get-contexts
CURRENT   NAME                          CLUSTER      AUTHINFO           NAMESPACE
          devuser@kubernetes            kubernetes   devuser            dev
*         kubernetes-admin@kubernetes   kubernetes   kubernetes-admin   

2.创建Role,Rolebing给用户devuser进行授权
[root@k8s nginx]# cat devuser-role-bind.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: dev
  name: devuser-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: devuser-rolebinding
  namespace: dev
subjects:
- kind: User
  name: devuser
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: devuser-role
  apiGroup: rbac.authorization.k8s.io  

[root@k8s nginx]# kubectl apply -f devuser-role-bind.yaml 
role.rbac.authorization.k8s.io/devuser-role created
rolebinding.rbac.authorization.k8s.io/devuser-rolebinding created

3.检验权限
由于只给用户授予了dev名称空间中pod的权限,所以无法获取别的名称空间的资源
[root@k8s rbac]# kubectl config use-context devuser@kubernetes
Switched to context "devuser@kubernetes".

[root@k8s nginx]# kubectl get pods -n default
Error from server (Forbidden): pods is forbidden: User "devuser" cannot list resource "pods" in API group "" in the namespace "default"
[root@k8s nginx]# kubectl get pods -n kube-system
Error from server (Forbidden): pods is forbidden: User "devuser" cannot list resource "pods" in API group "" in the namespace "kube-system"
[root@k8s nginx]# kubectl get pods -n nodes      
Error from server (Forbidden): pods is forbidden: User "devuser" cannot list resource "pods" in API group "" in the namespace "nodes"

3.验证 

[root@k8s nginx]# kubectl config get-contexts
CURRENT   NAME                          CLUSTER      AUTHINFO           NAMESPACE
          devuser@kubernetes            kubernetes   devuser            dev
*         kubernetes-admin@kubernetes   kubernetes   kubernetes-admin 

[root@k8s nginx]# cat dev-nginx.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment-dev
  namespace: dev
  labels:
    app: nginx
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: myapp-dev
        image: nginx:latest
        ports:
        -  containerPort: 80
           name: http-web-svc
        imagePullPolicy: IfNotPresent  
---
apiVersion: v1
kind: Service
metadata:
  namespace: dev
  name: nginx-service-dev
spec:
  selector:
    app: nginx
  ports:
  - name: name-of-service-port
    protocol: TCP
    port: 8080
    targetPort: http-web-svc

[root@k8s nginx]# kubectl apply -f dev-nginx.yaml
deployment.apps/nginx-deployment-dev created
service/nginx-service-dev created


[root@k8s nginx]# kubectl config use-context devuser@kubernetes  #切换上下文
Switched to context "devuser@kubernetes".

[root@k8s nginx]# kubectl get pods
NAME                                    READY   STATUS    RESTARTS   AGE
nginx-deployment-dev-79cdf66b76-9f622   1/1     Running   0          54s
qingmu_kai
关注
Kubernetes RBAC 实战应用
爱死亡机器人
04-25 4063
文章目录1. 介绍2. Practice - Role and Rolebinding3. Practice - ClusterRole and ClusterRoleBinding4. Accounts and Users5. Practice - CertificateSigningRequests 1. 介绍 2. Practice - Role and Rolebinding root@master:~/k8slib# k create ns red namespace/
kubernetes RBAC实战 kubernetes 用户角色访问控制,kubectl配置生成
weixin_34238642的博客
09-07 220
2019独角兽企业重金招聘Python工程师标准>>> ...
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
mark's technic world
02-06 315
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,包地址在此 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespace下的pod 命令行kubectl访问 安装cfssl 此工具生成证书非常方便, pem证书与crt证书,编码一致可直接使用 wget https://
kubernetes RBAC实战 kubernetes 用户角色访问控制,kubectl配置生成 ...
测试0901-1
12-16 406
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集 群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权...
浅聊kubernetes RBAC
分享知识、传递善意
09-03 1804
尽管下面的 RoleBinding 引用的是一个 ClusterRole,“dave”(这里的主体, 区分大小写)只能访问 “development” 命名空间中的 Secrets 对象,因为 RoleBinding 所在的命名空间(由其 metadata 决定)是 “development”。imagePullSecret资源将Secret提供的密码传递给kubelet从而在拉取镜像前完成必要的认证过程(此操作可跳过),简单说就是你的镜像仓库是私有的,每次拉取是需要认证的。
Kubernetes核心实战
Jacson__的博客
03-29 844
Kubernetes核心实战
kubernetes Auditing 实战
爱死亡机器人
08-11 321
catalg:~实战~
Kubernetes - 实战:一文详解ServiceAccount及RBAC权限控制
qq_33240556的博客
04-20 780
Kubernetes 中,ServiceAccount 和 RBAC(Role-Based Access Control)是用于控制集群内资源访问权限的重要组成部分。
KubernetesRBAC授权控制
weixin_43297299的博客
05-26 682
01、前言 众所周知,kubernetes API是kubernetes的核心组件,kubernetes API以REST接口的形式将Pods、Service、Deployment等信息定义为资源,而这些资源我们又是怎样操作它们的呢?在kubernetes 1.6之后社区逐渐使用RBAC的认证模式,下面将会详细介绍这种认证模式。 02、kubernetes的认证机制   1)如何访问kubernetes API 使用者可以通过kubectl客户端、各个代码语言的客户端库程序或者通过发送REST请求来
Kubernetes 实战手册
07-29
Kubernetes 实战手册》是一本深度探讨 Kubernetes 集群管理和应用部署的权威指南,旨在帮助读者从零基础开始,逐步掌握 Kubernetes 这一强大的容器编排系统。书中不仅涵盖了 Kubernetes 的基本概念,还提供了丰富...
Kubernetes实战系列 课件ppt
03-12
**Kubernetes实战系列课件PPT** 这组课件PPT是针对Kubernetes(简称k8s)的实战教程,由《Kubernetes权威指南》的作者之一龚正老师亲自讲解,旨在帮助学习者深入理解并掌握这个强大的微服务和云平台管理工具。...
Kubernetes集群方方面面实战教程学习线路指南
热门推荐
江晓龙的博客
10-31 7万+
Kubernetes集群方方面面实战教程学习线路指南 学习路线指南 欢迎大家来到jiangxl~的《Kubernetes集群方方面面进阶之路》专栏,本文给大家详细列出Kubernetes集群方方面面每一章节文章指南,大家可以根据自己的需求阅读想要学习的文章。 本专栏涵盖Kubernetes集群方方面面的技术总结,包括高可用集群、Pod资源、Pod资源控制器、配置存储、数据存储、安全框架等各方面深入解析、Helm包管理机制、Istio网格服务,以及基于Kubernetes集群的CI/CD流程设计及实现,总文章
kubernetes集群实战——API访问控制(openssl认证、rbac授权和准入控制)
weixin_45792518的博客
07-08 923
1.API 访问控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。 Authorizat
Kubernetes(K8s)技术深度解析与实战案例
运维人生
10-09 1821
K8s以其强大的容器编排和管理能力,已经成为当今云原生应用和微服务架构的首选平台。通过本文的深入探讨和实战案例,我们可以看到K8s在运维中的强大功能和便利性。它不仅简化了应用的部署和管理流程,还提供了丰富的监控和日志收集功能,帮助我们更好地了解应用的运行状态和性能表现。未来,随着K8s生态的不断发展和完善,我们相信它将在企业运维中发挥更加重要的作用。无论是大型互联网公司还是初创企业,都可以通过K8s来实现高效、可靠、可扩展的容器化应用管理。
K8s-services+pod详解1
2301_78088515的博客
10-12 1121
Service可以看作是一组同类Pod对外的访问接口。借助Service,应用可以方便地实现服务发现和负载均衡。我们能够利用Deployment创建一组Pod来提供具有高可用性的服务。虽然每个Pod都会分配一个单独的Pod IP,然而却存在如下两问题:Pod IP 会随着Pod的重建产生变化;Pod IP 仅仅是集群内可见的虚拟IP,外部无法访问。这样对于访问这个服务带来了难度。因此,Kubernetes设计了Service来解决这个问题。
Jenkins 中自动打包推送发布K8s应用
Zero小葵司的博客
10-12 919
分享如何从Jenkins构建一套自动化发布流水线,通过K8s sa token,将应用自动发布到K8s集群中。
k8s的部署和安装
最新发布
2301_78442423的博客
10-14 637
在Docker 作为高级容器引擎快速发展的同时,在Google内部,容器技术已经应用了很多年Borg系统运行管理着成千上万的容器应用。Kubernetes项目来源于Borg,可以说是集结了Borg设计思想的精华,并且吸收了Borg系统中的经验和教训。Kubernetes对计算资源进行了更高层次的抽象,通过将容器进行细致的组合,将最终的应用服务交 给用户。kubernetes的本质是一组服务器集群,它可以在集群的每个节点上运行特定的程序,来对节点中的容器 进行管理。
K8s简介及环境搭建
2301_80194425的博客
10-09 968
kubernetes的本质是一组服务器集群,它可以在集群的每个节点上运行特定的程序,来对节点中的容器进行管理。目的是实现资源管理的自动化,主要提供了如下的主要功能::一旦某一个容器崩溃,能够在1秒中左右迅速启动新的容器:可以根据需要,自动对集群中正在运行的容器数量进行调整:服务可以通过自动发现的形式找到它所依赖的服务:如果一个服务起动了多个容器,能够自动实现请求的负载均衡:如果发现新发布的程序版本有问题,可以立即回退到原来的版本:可以根据容器自身的需求自动创建存储卷。
k8s pod详解使用
HUHUD521的博客
10-09 1114
Pod是K8s中最小的可部署单元,也是资源对象模型中由用户创建或部署的最小资源对象模型。它实现了对容器的封装和管理,是一组运行在同一主机(节点)上、共享网络和存储空间的一组容器。Pod内的容器共享同一个网络命名空间和存储卷,可以方便地实现容器间的通信和数据共享。#可以以此形式来一层一层获取可配置项#必选项,版本号,如V1kind: Pod#必选项,资源类型,pod等metadata:#必选项,元数据部分name: xxx#Pod名称#Pod所属的命名空间,默认为"default"
Kubernetes实战:权限管理与资源监控
1. 创建RBAC权限 在Kubernetes中,`ClusterRole`用于定义一组全局权限,这些权限可以在整个命名空间范围内应用。要创建一个名为`deployment-clusterrole`的`ClusterRole`,允许创建`Deployment`、`StatefulSet`和`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值