10 k8s 考试基础知识(八)

已于 2024-01-07 01:23:14 修改
阅读量796 收藏 8
点赞数 27
文章标签: kubernetes 容器 云原生
于 2024-01-07 01:21:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30950597/article/details/135434656
版权
本文详细介绍了Kubernetes中的API对象和RBAC(Role-Based Access Control)机制。API对象是集群状态的持久化实体,通过HTTP服务进行交互。RBAC中,用户验证包括X509客户端证书、静态token文件和静态密码文件。重点讲述了Role、RoleBinding、ClusterRole和ClusterRoleBinding的使用,以及如何为kubectl配置用户,包括创建userAccount和服务Account。此外,还讨论了默认角色和面向用户的权限配置。
摘要由CSDN通过智能技术生成

API 对象解释

Kubernetes 对象是持久化的实体,是存入 etcd 中的数据,集群中通过这些实体来表示整个集群的状态。

Kubernetes API 是一个以 JSON 为主要序列化方式的 HTTP 服务,除此之外也支持 Protocol Buffers 序列化方式。

主要用于集群内部组件间的通信。为了可扩展性,Kubernetes 在不同的 API 路径(比如/api/v1 或者 /apis/batch)下面不同的 API 版本意味着不同级别的稳定性和支持:

  • Alpha 级别,例如 v1alpha1 默认情况下是被禁用的,可以随时删除对功能的支持,所以要慎用
  • Beta 级别,例如 v2beta1 默认情况下是启用的,表示代码已经经过了很好的测试,但是对象的语义可能会在随后的版本中以不兼容的方式更改
  • 稳定级别,比如 v1 表示已经是稳定版本了,也会出现在后续的很多版本中。

Kubernetes 集群中,API 对象在 Etcd 里的完整资源路径,由: Group(API 组); Version(API 版本); Resource(API 资源类型)

apiserver tree

kubectl get --raw /

RBAC详解

Role-Based Access Control

K8S中,有3种验证方式:

kubectl config set-credentials -h 
1 Client-certificate flags
2 Bearer token flags
3 Basic auth flags
  • X509客户端证书
    客户端证书验证通过为API Server指定--client-ca-file=xxx选项启用,API Server通过此ca文件来验证API请求携带的客户端证书的有效性,一旦验证成功,API Server就会将客户端证书Subject里的CN属性作为此次请求的用户名
  • 静态token文件
    通过指定--token-auth-file=SOMEFILE选项来启用bearer token验证方式,引用的文件是一个包含了 token,用户名,用户ID 的csv文件 请求时,带上Authorization: Bearer 31ada4fd-adec-460c-809a-9e56ceb75269头信息即可通过bearer token验证
  • 静态密码文件
    通过指定--basic-auth-file=SOMEFILE选项启用密码验证,类似的,引用的文件时一个包含 密码,用户名,用户ID 的csv文件 请求时需要将Authorization头设置为Basic BASE64ENCODED(USER:PASSWORD)

X509客户端证书 这个比较重要,下面按照Client-certificate 这个方式创建用户

在 RBAC API 中,一个角色包含一组相关权限的规则。权限是纯粹累加的(不存在拒绝某操作的规则),即只能给权限累加,不存在给了XX权限,然后去掉XX01权限的情况。

RBAC 账户管理有两种:

  • userAccount: 给人设计使用,并且userAccount不在k8s集群内管理
  • serviceAccount: 为集群内pod,外部service访问而设计的,更轻量级,更专注与实现某个任务

01 userAccount

为kubectl配置用户

在命令中带上 kubectl --context=tom@aliyun ... 参数即可指定kubectl使用之前添加的名为tom@aliyun的context操作集群
也可以通过命令 kubectl config use-context tom@aliyun 来设置当前激活的context

不在k8s集群内管理内的资源

为用户生成证书的步骤 为用户提供了基于X509证书的验证,也就是生成一个userAccount

{
    mkdir ~/userAccount_dir/ ; cd $_ ; }
# 1 为jemmy用户创建一个私钥
# 设置掩码077,这样只有当前用户有rw权限
(umask 077; openssl genrsa -out jemmy.key 2048)
# 2 用此私钥创建一个csr(证书签名请求)文件,需要在subject里带上用户信息(CN为用户名,O为用户组) 
# /O参数可以出现多次,即可以有多个用户组
openssl req -new -key jemmy.key -out jemmy.csr -subj "/CN=jemmy/O=Shanghai/O=worker"
# 3 找到K8S集群(API Server)的CA证书文件,其位置取决于安装集群的方式,通常会在`/etc/kubernetes/pki/`路径下,会有两个文件,一个是CA证书(ca.crt),一个是CA私钥(ca.key)
# 4 通过集群的CA证书和之前创建的csr文件,来为用户颁发证书
# -CA和-CAkey参数需要指定集群CA证书所在位置path/to/ca.crt; path/to/ca.key,
# -days参数指定此证书的过期时间,这里为365天
openssl x509 -req -in jemmy.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out jemmy.crt -days 365
# openssl x509 -req -in mrvolleyball.csr -CA ca.pem  -CAkey ca-key.pem -CAcreateserial -out mrvolleyball.crt # 注:ca.pem与ca-key.pem分别是证书与私钥
# 5 最后将证书(jemmy.crt)和私钥(jemmy.key)保存起来,这两个文件将被用来验证API请求
# 看一下这个详细信息
openssl x509 -in jemmy.crt -text -noout
# openssl x509 -in mrvolleyball.crt -text
# Subject: CN=jemmy, O=Shanghai, O=worker

以上步骤就有了用户jemmy

接下来将账户注册到kubectl config当中进行管理:

# 注册这个用户
k config -h  # set-credentials   Set a user entry in kubeconfig
kubectl config set-credentials -h  #  --client-certificate=certfile --client-key=keyfile
# set User "jemmy" 
kubectl config set-credentials jemmy --client-certificate=jemmy.crt --client-key=jemmy.key
# kubectl config set-credentials jemmy --client-certificate=jemmy.crt --client-key=jemmy.key --embed-certs=true  # Embed client cert/key for the user entry in kubeconfig # 加上了就不显示真实目录显示 这个 DATA+OMITTED
# created Context "jemmyLoc" 
kubectl config set-context jemmyLoc --cluster=kubernetes --user=jemmy
#  --namespace=a-1 这个ns可加可不叫,不加就没有默认的命名空间
# 创建好之后使用新账户来登录:
kubectl config use-context jemmyLoc
# 一开始由于没有权限,我们只能允许被进入k8s集群,但是没有访问任何资源的权限
kubectl get pod
kubectl config use-context kubernetes-admin@kubernetes

接下来为用户添加基于角色的访问控制(RBAC)

目前RBAC已作为稳定的功能,管理员可以通过 Kubernetes API 动态配置策略来启用RBAC,需要在 kube-apiserver 中添加参数--authorization-mode=RBAC

# 查看哪些插件是默认启用的:
cat  /etc/kubernetes/manifests/kube-apiserver.yaml  | grep enable-admission-plugins
#   - --authorization-mode=Node,RBAC

02 clusterrole 和 rolebinding

RoleBinding 在 哪个名命名空间,用户就有哪个命名空间的权限

角色

  • 普通角色(Role) 作用域 某个命名空间
  • 集群角色(ClusterRole) 作用域 整个集群 可以多次复用
    • 比如node资源的管理;
    • 非资源类型的接口请求(如"/healthz");
    • 请求全命名空间的资源(通过指定 --all-namespaces)

apiGroups
要使用的API Group name。若此欄空白,則預設為core API

cat <<- eof | kubectl apply -f - 
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # ClusterRole 是集群范围对象,没有 "namespace" 区分
  name: jemmy-clusterrole
rules:
  # 对哪个api组进行授权,""核心资源组,apps组是deployment控制器所在的api组
- apiGroups: ["", "apps"]
  # 授权资源的类型
  resources: ["pods","deployments"]
  verbs: ["get", "watch", "list", "create", "delete"]
eof

kubectl get clusterrole | grep jemmy-clusterrole
k get clusterrole.rbac.authorization.k8s.io/jemmy-clusterrole
k describe $_

Kubernetes集群RBAC授权案例(一)通过用户账号的方式分配单独Namespace的权限(四十)_nginx_02

RoleBinding的目的即是連接User或者service account 和Role

如yaml中所示,RoleBinding资源创建了一个 Role-User 之间的关系,roleRef节点指定此RoleBinding所引用的角色,subjects节点指定了此RoleBinding的受体,可以是User,也可以是前面说过的ServiceAccount,在这里只包含了名为 tom 的用户

RoleBinding资源将用户和角色绑定

通过RoleBinding角色绑定将用户与集群角色进行绑定

cat <<- eof | kubectl apply -f - 
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: jemmy-clusterrole-csdn-binding
  namespace: csdn-test
#关联用户信息
subjects:
  #类型为用户
- kind: User	
  #用户名称
  name: jemmy
  #角色所能控制的命名空间
  namespace: csdn-test			
  apiGroup: rbac.authorization.k8s.io
#关联角色信息
roleRef:
  #类型为ClusterRole
  kind: ClusterRole		
  #角色名称
  name: jemmy-clusterrole						  
  apiGroup: rbac.authorization.k8s.io
eof

验证

k auth can-i -h 
kubectl auth can-i <verb> <resoureces>
k auth can-i get po -n default --as=jemmy
k auth can-i get deploy -n default --as=jemmy
k auth can-i get po -n csdn-test --as=jemmy
k auth can-i get deploy -n csdn-test --as=jemmy
kubectl config use-context jemmyLoc

下面以命令行的方式创建

kubectl config
最低0.47元/天 解锁文章
woe-whh
关注
  • 27
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
《Linux基金会 Kubernetes/K8s CKS考试实验手册》是针对LFS260课程的一份重要参考资料,旨在帮助考生深入理解和掌握Kubernetes的安全基础。该手册由Linux基金会于2021年1月7日发布,并对版权有严格的保护规定,仅供...
【菜鸡带你识证书】之K8S:CKA(Kubernetes管理员)
weixin_42064165的博客
01-11 2125
针对CKA(Kubernetes管理员)的综合介绍
K8S认证工程师(CKA)考试必过指南
xvktdmjg的博客
11-07 1万+
关于CKA CKA全称为(Certificated Kubernetes Administrator)即为官方认证的Kubernetes管理员。管理员认证(CKA)旨在确保认证持有者具备履行Kubernetes管理员职责的技能,知识和能力。 那么CKA认证有什么用呢? 提升专业能力:CKA 是 CNCF 致力于发展 Kubernetes 管理员社区,是促进公司和组织广泛使用 Kubernetes 进行落地实践过程中的关键步骤。 证明你的实力:通过 CKA 认证的管理人员可迅速建立在就业市场上的信誉和价值。
Kubernetesk8s的17个需求练习测试
最新发布
H1897574的博客
05-08 1012
52 - name: logs #题目要求的名字53 emptyDir: {} #定义一个默认类型【题目没指定】自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
K8S认证】2023年CKA考题汇总(解析+答案)
u014481728的博客
09-30 1万+
K8S认证】2023年CKA考题汇总(解析+答案)
Kubernetes考试题(CKA)
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
01-31 5750
CKA题库
2024年K8S管理员认证(CKA)考题
weixin_53851491的博客
03-26 2330
限于 namespace app-team1 中,将新的 ClusterRole deployment-clusterrole 绑定到新的 ServiceAccount cicd-token。确保新的 NetworkPolicy 允许 namespace echo 中的 Pods 连接到 namespace my-app 中的 Pods 的 9000 端口。在现有的 namespace my-app 中创建一个名为 allow-port-from-namespace 的新 NetworkPolicy。
K8s 1.19实战讲解.pdf
02-07
总之,Kubernetes 1.19实战讲解涵盖了K8s的核心概念、CKA认证的重要性及其考试流程,以及备考策略。通过深入学习和实践,考生不仅能掌握Kubernetes的最新功能,还能提升在容器集群管理领域的专业能力,为职业发展...
kubernetes(2021-12月整理k8s经典面试常问题目)面试题汇总.pdf
12-11
Kubernetes(简称k8s)是Google开源的容器编排管理系统,它旨在自动化容器的部署、扩展和管理,提供了一种高效、灵活的方式来管理和运行基于容器的应用程序。Kubernetes不仅支持Docker,还兼容其他容器运行时,如...
自学文件_20200117_k8s.zip
01-17
【描述】虽然描述简洁,但我们可以推测这可能是包含了一系列有关 Kubernetes 的文档、教程或代码示例,可能涵盖了 k8s基础知识、安装部署、工作原理、核心组件、服务发现、持久化存储、网络策略、应用部署、扩展...
K8S_bookmarks_2020_7_30.html
07-30
针对准备cka认证考试而收集的:k8s官方网站常用网页、k8s基础知识、cka考试常用网站、cka考试联系网站等。
57道K8S面试题,呕心沥血整理并附答案,赶紧收藏!
力哥讲技术
07-25 2万+
Kubernetes是一个开源容器编排平台,用于自动化部署、扩展和管理容器化应用程序。它的主要目标是简化容器化应用的部署和管理,并提供弹性、可靠的应用程序编排。Pod是Kubernetes的最小调度和部署单元。它是一个包含一个或多个容器的逻辑主机,这些容器共享网络和存储资源,并且在同一主机上共享生命周期。ReplicaSet是Kubernetes的控制器之一,用于确保在集群中运行指定数量的Pod副本。如果Pod的数量少于指定的副本数,ReplicaSet将创建新的Pod副本;
40道常见的 K8S 面试题总结
2401_83947353的博客
04-26 1032
Google Container Engine(GKE)是Docker容器和集群的开源管理平台。这个基于Kubernetes的引擎仅支持在Google的公共云服务中运行的群集。Heapster是由每个节点上运行的Kubelet提供的集群范围的数据聚合器。此容器管理工具在Kubernetes集群上本机支持,并作为pod运行,就像集群中的任何其他pod一样。因此,它基本上发现集群中的所有节点,并通过机上Kubernetes代理查询集群中Kubernetes节点的使用信息。
K8S认证CKA/CKS考试流程PSI Bridge平台考试步骤
qq709869231的博客
09-20 5531
查看发行版安装的文件(即 /usr/share 及其子目录)使用 VM 中的浏览器访问位于以下位置的文档: https 😕/helm.sh/docs/、https : //kubernetes.io/docs/、https : //kubernetes.io/blog/及其子域。完成后,您将收到“系统检查通过”的消息。这包括这些页面的所有可用语言翻译(例如 https://kubernetes.io/zh/docs/使用 https://kubernetes.io/docs/上提供的搜索功能。
Kubernetes中几种常见的健康检查机制
每天都要开心呀(#^.^#)
05-25 1171
kubernetes中的几种常见的探针方式
k8s学习-CKA考试必过宝典
关注网络安全、云原生安全
01-02 2525
• 使用ConfigMaps和Secrets配置应用程序。• 了解用于创建健壮的、自修复的应用程序部署的原语。:折扣期间购买的可能无法退换,注意看网站的一些条款。不能使用中国网站的账号登录,通过考试券来预约考试。国内需要身份证,国外需要其他类型的身份证件,如护照。更多信息可以加入网站右下角的官方交流群!• 管理高可用性的Kubernetes集群。博主使用的Github,也可以使用其他方式。• 了解如何配置具有持久性存储的应用程序。• 了解如何使用入口控制器和入口资源。• 了解如何配置和使用CoreDNS。
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 2万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKS(Kubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证)
k8s考证-CKA真题
互联网老辛
03-27 3058
1.列出pod并排序 $ kubectl get pod --sort-by .metadata.name 2.找出pod中的错误日志 #要求是把错误内容输出到某个文件中,可以粘贴,也可以直接重定向文件 $ kubectl logs mypod-798fcd9949-lk9rc | grep error > xx.log 3.创建一个pod ,并调度到某个节点上 $ cat > pod.yaml << EOF apiVersion: v1 kind: Pod metadata:
k8s基础知识点通俗易懂
08-30
k8sKubernetes基础知识点通俗易懂的解释如下: Kubernetes是一种容器编排平台,用于管理和部署容器化应用程序。它提供了一种简单而强大的方式来自动化应用的调度、扩展和管理,使开发人员和运维人员能够以更高效的方式管理容器化应用。 在学习k8s基础知识之前,建议您具备一定的Linux基础和网络基础知识,并了解一些Docker和k8s相关的概念。例如,您可以先掌握一些关于容器的基本概念,比如什么是容器容器镜像、容器编排等。此外,您还需要了解一些关于k8s的核心概念,比如Pod、Service、Deployment等。 Kubernetes中的Pod是最小的部署单元,它包含一个或多个容器,并共享存储、网络等资源。Pod可以被创建、启动、停止或调度,以确保容器应用程序的高可用性和弹性。 Service是一种抽象,用于将一组Pod暴露给其他应用程序或用户。它为Pod提供了一个稳定的网络地址,并负责负载均衡请求。 Deployment是一种资源对象,它定义了如何部署应用程序。通过Deployment,您可以指定要运行的Pod数量、容器的镜像、升级策略等。 除此之外,还有许多其他的k8s核心概念和功能,如Namespace、ReplicaSet、StatefulSet等,它们可以帮助您更好地管理和扩展容器化应用程序。 总之,k8s基础知识点涉及到了容器编排、Pod、Service、Deployment等核心概念。通过学习这些知识,您将能够更好地理解和使用Kubernetes平台来管理和部署容器化应用程序。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Prometheus+Grafana(Kubernetes)企业级监控](https://download.csdn.net/download/weixin_26833205/19732967)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [云计算虚拟化:k8s进阶-CRD开发基础](https://blog.csdn.net/dustzhu/article/details/112029190)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [视频教程-通俗易懂的消息中间件ActiveMQ教程(含配套资料)-Docker/K8S](https://blog.csdn.net/weixin_33500227/article/details/106513277)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值