k8s通过sa和自建角色实现权限精细化分配

于 2023-08-11 17:14:39 发布
阅读量586 收藏 1
点赞数
文章标签: kubernetes java 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36961626/article/details/132236539
版权

文章目录

权限精细化分配—通过sa和自建角色实现权限精细化分配

1.新建sa

kubectl create sa lishanbin -n planck

2.建立一个角色,并将该角色绑定到sa上

角色role-sa 具有的权限仅仅是namespace planck内的所有pod的查看权限,以及deployment的查看权限,无权删除修改这些资源

[root@k8s-master ~]# cat sa-role-binding.yaml 
#k8s 1.22.10
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: role-sa
  namespace: planck                         #指定 Namespace
rules:                                      #权限分配
  - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "watch", "list"]
  - apiGroups: [""]
    resources: ["pods/log"]
    verbs: ["get","list","watch"]
  - apiGroups: [""]
    resources: ["pods/attach"]
    verbs: ["get","list","watch"]
  - apiGroups: [""]
    resources: ["pods/exec"]
    verbs: ["get","list","watch"]
  - apiGroups: [""]
    resources: ["pods/status"]
    verbs: ["get","list","watch"]
  - apiGroups: [""]
    resources: ["podtemplates"]
    verbs: ["get","list","watch"]
  - apiGroups: ["extensions", "apps"]
    resources: ["deployments","statefulsets"]
    verbs: ["get", "list", "watch"]
  - apiGroups: [""]
    resources: ["configmaps"]
    verbs: ["get", "list", "watch"]
  - apiGroups: [""]
    resources: ["endpoints"]
    verbs: ["get", "list", "watch"]
  - apiGroups: [""]
    resources: ["events"]
    verbs: ["get", "list", "watch"]
  - apiGroups: [""]
    resources: ["replicationcontrollers"]
    verbs: ["get", "list", "watch"]
  - apiGroups: [""]
    resources: ["replicationcontrollers/status"]
    verbs: ["get"]
  - apiGroups: [""]
    resources: ["services"]
    verbs: ["get", "list", "watch"]
  - apiGroups: [""]
    resources: ["services/status"]
    verbs: ["get", "list", "watch"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rbac-role-binding
  namespace: planck                 #指定 Namespace
subjects:
  - kind: ServiceAccount
    name: lishanbin                 #指定 ServiceAccount
    namespace: planck              #指定 Namespace
roleRef:
  kind: Role
  name: role-sa
  apiGroup: rbac.authorization.k8s.io

3.授权namespace的权限,设置ClusterRole和ClusterRolebinding

为什么要授权是因为sa内的secrets里的token只有在dashboard内使用,而上面的角色和角色绑定都是dev这个namespace内的,这样绑定后,拿到token才可以登录到dashboard的首页,否则都无法选择namespace。

cat rbac-cluster-role-binding.yaml 
#k8s 1.22.10
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rbac-namespace-role
rules:
  - apiGroups: [""]                     #配置权限,配置其只用于 namespace 的 list 权限
    resources: ["namespaces"]
    verbs: ["list"]
  - apiGroups: [""]
    resources: ["namespaces/status"]
    verbs: ["get"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rbac-default-role-binding
subjects:
  - kind: ServiceAccount
    name: lishanbin                     #配置为自定义的 ServiceAccount
    namespace: planck                  #指定为服务账户所在的 Namespace
roleRef:
  kind: ClusterRole
  name: rbac-namespace-role             #配置上面的 Role
  apiGroup: rbac.authorization.k8s.io



kubectl -n planck describe secret $(kubectl get secret -n planck | grep lishanbin | awk '{print $1}')

kubernetes的dashboard提供Token和kubeconfig两种认证方式,因此上面拿到token以后可以通过token进行访问planck这个ns下的资源了。

均衡教派.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【云原生--Kubernetes】安全机制
夏颜的博客
08-06 650
用户通过安全端口访问k8s的api server需要过三关:认证、授权、准入控制 - Authentication认证: 用于识别用户身份 - Authorization授权: 确认是否对资源具有相关的权限 - Admission Control准入控制: 判断操作是否符合集群的要求...
k8s(九)—访问控制(创serviceaccount账号、创useraccount账号)
qq_43114229的博客
04-17 4848
1.访问控制简介 2.创sa账号 [root@server2 ~]# kubectl create serviceaccount admin 创sa账号为admin serviceaccount/admin created [root@server2 ~]# kubectl get sa NAME SECRETS AGE admin 1 60s admin创成功 default 1 5d19h [root@se
K8S控制器之Deployment详解及配置。
无求道贾的博客
11-27 1万+
一,引入Deployment 对于kubernetes来说Pod是资源调度最小单元,kubernetes主要的功能就是管理多个Pod,Pod中可以包含一个或多个容器,而kubernetes是如可管理多个Pod的呢?对,没错,就是通过控制器,比如Deployment和ReplicaSet(rs)。 kubernetes下有多个Deployment,Deployment下管理RepliceSet,通过RepliceSet管理多个Pod,通过Pod管理容器。 它们之间的关系图如下: 二,Deploy.
Sa-token给用户分配权限分配角色
weixin_60414376的博客
02-17 5331
本文以一个小案例实现登录与权限模块的开发,大致是数据库有两个用户一个是超级管理员一个是普通用户,只有超级管理员有查询所有信息的权限,普通用户点击查询所有用户显示您未有相关权限 1、登录页面 2、管理员查询: 3、学生查询: 数据库: 一)登录模块开发 1、去yml文件中配置sa-token的基本配置: # Sa-Token配置 sa-token: # token名称 (同时也是cookie名称) token-name: token # tok...
kubectl create 命令使用
qq_43773590的博客
07-08 7897
kubectl create 命令使用
Jenkins+gitlab+k8s代码自动集成和发布到k8s集群手册
最新发布
02-17
利用jenkins,gitlab,构自动化的代码发布流水线,并自动部署到k8s集群中
K8S创用户账号User Account并赋予权限
06-12
K8S创用户账号User Account并赋予权限
K8S从懵圈到熟练–集群服务的三个要点和一种实现
02-24
以我的经验来讲,理解K8S集群服务的概念,是比较不容易的一件事情。尤其是当我们基于似是而非的理解,去排查服务相关问题的时候,会非常不顺利。这体现在,对于新手来说,ping不通服务的IP地址这样基础的问题,都很...
使用python脚本自动生成K8S-YAML的方法示例
09-16
主要介绍了使用python脚本自动生成K8S-YAML的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
kubernetes API 访问控制之:认证
看,未来的博客
06-02 2026
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
k8s kubectl create命令使用详解
学亮编程手记
04-14 2554
k8s kubectl create命令使用详解 Create a resource by filename or stdin 摘要 Create a resource by filename or stdin. JSON and YAML formats are accepted. kubectl create -f FILENAME 示例 # Create a pod using the data in pod.json. kubectl create -f ./pod.json # Create
kubectl 命令详解(十八):create deployment
youzhouliu的博客
05-04 4152
kubectl create deployment 命令详解。
k8s sa role rolebinding secret
qq_30553857的博客
05-05 1551
一、在RBAC中的几个概念: 1、什么是RBAC RBAC全称Role-Based Access Control,是Kubernetes集群基于角色的访问控制,实现授权决策,允许通过Kubernetes API动态配置策略。 2、什么是Role Role是一组权限的集合,例如Role可以包含列出Pod权限及列出Deployment权限,Role用于给某个NameSpace中的资源进行鉴权。 3、什么是ClusterRole ClusterRole是一组权限的集合,但与Role不同的是,ClusterRo
Kubernetes入门学习-十六-sa授权、准入控制
wolf
03-20 3601
最近学习k8s遇到很多问题,了一个qq群:153144292,交流devops、k8s、docker等 认证、授权、访问控制 apiserver是访问控制的入口,管理入口。 到容器暴露出去后,走node节点为入口。 API Server作为Kubernetes网关,是管理资源对象的唯一入口,其各种集群组件访问资源都需要 经过网关才能进行正常访问和管理。每一次的访问请求都需要进行合法性...
【云原生--Kubernetes】kubectl命令详解
夏颜的博客
08-01 2070
在使用kubectl进行操作时,命令式主要是使用命令行的操作方式进行资源配置,而声明式则式基于yaml文件进行资源配置create与run的区别,run创的pod可以删除,create创的需要删除pod控制器才可以完全删除podcreate与apply区别,create为创,若系统含有该资源则报错,而apply创时会检测已创的资源与配置文件是否不一致,若不一致则会进行更新httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。......
快速搭Kubernetes (K8S)平台
lcw6652532的博客
11-26 2398
保姆级教程搭Kubernetes (K8S)平台
Jenkins 和 k8s 构企业级 DevOps 容器云平台
热门推荐
高飞的博客
11-17 25万+
DevOps
kubectl认证 授权 准入控制
Jesse技术博客
09-13 8117
kubernetes 认证及serviceaccount(服务账号) kubernetes中apiservice是唯一访问的入口 认证->授权->准入控制 认证方式: token ssl kubect和node都要双向认证 K8s1.6以上增加了RBAC认证,授权检查 kuberadm是强制使用了kuberadm的授权认证 这都是最高的权限进行管理   用户账号具有以下信息:...
Kubernetes之kubectl常用命令使用指南:1:创和删除
知行合一 止于至善
06-29 7万+
kubectl是一个用于操作kubernetes集群的命令行接口,通过利用kubectl的各种命令可以实现各种功能,是在使用kubernetes中非常常用的工具。这里我们会通过一些简单的实例来展现其中一些高频命令的使用方法。 更为重要的是这些命令使用的场景以及能够解决什么样的问题。这篇文章我们来介绍一下创和删除相关的命令。
通过K8S、VPC实现容器虚拟化功能
09-05
K8S提供了容器的管理和调度能力,而VPC提供了网络的虚拟化和安全控制能力,从而使得容器化应用程序可以在分布式的环境中进行部署、扩展和管理。这种组合使得容器化应用程序的虚拟化更加灵活、高效和安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

均衡教派.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值