k8s的RBAC中,clusterrole, rolebinding 是什么关系谁先谁后

于 2023-11-01 19:32:23 发布
阅读量677 收藏 1
点赞数
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37633935/article/details/134168446
版权

在Kubernetes中,Role-Based Access Control(RBAC)用于控制集群中不同用户、服务账号或组的访问权限。ClusterRole 和 RoleBinding 是两个关键的 RBAC 组件,它们之间的关系是 ClusterRole 定义了一组权限规则,而 RoleBinding 将这些权限规则绑定到特定的用户、服务账号或组。

具体关系如下:

  1. ClusterRole:ClusterRole 是一种全局的权限规则,它定义了一组权限,可以在整个集群中使用。ClusterRole 中可以包括许多规则,如允许某些操作或访问某些资源。ClusterRole 是集群范围的,因此可以在不同的命名空间中使用。

  2. RoleBinding:RoleBinding 是将 ClusterRole 绑定到特定命名空间的一种机制。RoleBinding 定义了哪些用户、服务账号或组将获得 ClusterRole 中定义的权限。RoleBinding 是命名空间特定的,因此它只在一个命名空间内生效。

所以,ClusterRole 先定义了一组权限规则,然后 RoleBinding 将这些规则应用到特定的命名空间或特定的用户/服务账号。这意味着 ClusterRole 的定义通常应该在 RoleBinding 使用之前完成,以确保规则可供绑定。如果你想为整个集群定义权限规则,可以先创建 ClusterRole,然后使用 ClusterRoleBinding 将其绑定到用户或服务账号,而如果你只想在特定命名空间中定义权限规则,可以创建 Role 和 RoleBinding。

运维点滴
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8s-ceph-csi-rbd连接资源
06-15
K8s通过rbdcsi连接ceph集群资源文件,已经修改了里面的镜像地址,补全configmap文件,可以直接下载部署
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2317
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
install_k8s:一键安装kubernets(k8s)系统,采用RBAC模式运行(证书安全认证模式),既可以单台安装,也可以安装,并且完全是生产环境的安装标准。 :bsh888
02-03
展示一下结果 安装后最终输出下图样子即为成功: 获取Pods命令正常输出: 访问控制台: 访问grafana 访问grafana(容器): 访问prometheus: 访问微服务示例: 下面是安装方法(安装过程有疑问可以加我微信:bsh888) 初步,克隆安装程序,并进入目录: git clone cd install_k8s第二步,下载大文件二进制包(里面是x86_64下编译好的k8s二进制文件):注意:下面的包任选,但要对应到相应的安装原始版本。 v1.16.3.1版本下载地址(ls-files-v1.16.3.1.gz,建议使用此版本,对k8s和runc禁止kmem特性,否则可能容器进程被内核重新占用oomkill):链接: ://pan.baidu.com/s/18Tq8RqxCKa8EBpXznOwBGg提取码:p8f6 v1.13.3.1版本下载地址(ls-files-v1.13.3.1.gz,建议使用此版本,对k8s和runc禁止kmem特性,否则可能容器进程被内核重新占用oomkill):链接: ://pan.baidu.com/s/1mU3ykUaV5x5
rbacsync:自动将组同步到Kubernetes RBAC
02-03
该项目提供了一个Kubernetes控制器,用于使用合并的配置对象从组成员身份源同步Kubernetes 使用的RoleBindings和ClusterRoleBindings。 提供的配置对象使您可以定义“虚拟”组,从而创建直接引用组所有用户的RoleBindings和ClusterRoleBindings。 可以直接在配置对象声明组成员身份,也可以从“上游”提取组成员身份。 当前,唯一受支持的上游是GSuite,但是如果需要,我们可以添加其他上游。 用法 定制资源 RBACSync利用“ 来管理绑定配置和组成员资格声明。 CRD在可用。 提供了有关类型声明的特定信息。 根据要
k8s培训视频.zip
05-09
目录网盘文件永久链接 01-Devops核心要点及kubernetes架构概述 02-kubernetes基础概念 03-kubeadm初始化Kubernetes集群 04-kubernetes应用快速入门 05-kubernetes资源清单定义入门 06-Kubernetes Pod控制器应用进阶 07-Kubernetes Pod控制器应用进阶 08-Kubernetes Pod控制器 09-Kubernetes Pod控制器 10-kubernetes Service资源 11-kubernetes ingress及Ingress Controller 12-存储卷 13-kubernetes pv、pvc、configmap和secret 14-kubernetes statefulset控制器 15-kubernetes认证及serviceaccount 16-kubernetes RBAC 17-kubernetes dashboard认证及分级授权 18-配置网络插件flannel 19-基于canel的网络策略 20-调度器、预选策略及优选函数 ...
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 2749
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
k8s--普通k8s集群---使用rolebinding限制或增加访问命名空间以及可执行操作权限
热门推荐
直到世界的尽头
11-13 1万+
权限控制原理 RBAC——基于角色的访问控制 基于角色的访问控制(Role-Based Access Control, 即”RBAC”) k8s使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。 也就是说 每个k8s用户调用k8s的api时,都会经过一层角色的权限校验,比如 我当前的用户或者 服务账户(serviceaccount)关联的是哪一个角色,就拥有这一个角色的访问权限。 基于这样的原理,k8s可以很灵
Kubernetes学习笔记(四):持久化存储与安全认证
hxt的博客
03-12 1046
一、持久化存储 容器的生命周期可能很短,会被频繁地创建和销毁。那么容器在销毁时,保存在容器的数据也会被清除。这种结果对用户来说,在某些情况下是不乐意看到的。为了持久化保存容器的数据,Kubernetes引入了Volume的概念 Volume是Pod能够被多个容器访问的共享目录,它被定义在Pod上,然后被一个Pod里的多个容器挂载到具体的文件目录下,Kubernetes通过Volume实现同一个Pod不同容器之间的数据共享以及数据的持久化存储。Volume的生命容器不与Pod单个容器的生命周期相关,当
云原生k8s安全机制
最新发布
zhangchang3的博客
07-18 2084
认证(Authentication) .鉴权(Authorization)准入控制(Admission Control)
KubernetesK8s)_10_认证机制
爱喝可乐的w
02-22 1397
KubernetesK8s)保证安全的认证机制/插件
访问管理器:Kubernetes-Operator简化RBAC配置
02-07
访问管理器 Access-Manager是Kubernetes-Operator,使用来简化集群的复杂配置并在名称空间之间传播秘密。 动机 在基于名称空间的基础上管理许多不同的RBAC-Roles时,出现了这个想法。 随着时间的推移,这变得越来越复杂,管理员始终必须确保将正确的角色应用于多个名称空间的不同人员或ServiceAccounts。 操作员的范围仅限于RoleBindingClusterRoleBinding的创建和删除。 因此,所有引用的RoleClusterRole都必须存在。 让它自动化。 Kubernetes兼容性 该图像包含k8s.io/client-go版本。 Kubernetes旨在在客户端和服务器之间提供一个次要版本的向前和向后兼容性: 访问管理器 k8s.io/client-go k8s.io/apimachinery 预期的kubernetes
k8s集群安全机制
weixin_43753680的博客
02-25 164
k8s集群安全机制 机制说明 安全主要是围绕 api server 来展开的
Kubernetesk8s的安全管理详细说明【role赋权和clusterrole赋权详细配置说明】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-06 4854
文章目录环境准备token验证&&kubeconfig验证授权了解authorization-mode授权模式AlwaysAllow&&AlwaysDenyRBAC模式说明【重要】查看admin权限基本概念原理role测试说明创建一个role排错处理了解sa安装dashboard资源限制 环境准备 首需要有一套完整的集群 [root@master ~]# kubectl get nodes -o wide NAME STATUS ROLES AGE
Kubernetes角色访问控制RBAC和权限规则(Role+ClusterRole)---好文
Vic的博客
11-02 640
RoleClusterRoleRBACAPI,一个角色定义了一组特定权限的规则。namespace范围内的角色由Role对象定义,而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。RoleRole对象只能用于授予对某一namespace资源的访问权限。kindRoleapiVersionmetadatanamespacedefaultnamerules[""]#空字符串""表明使用coreAPIgroupresources。...
K8S 安全认证机制(认证、授权(Role/ClusterRole/ClusterRole/ClusterRoleBinding)、准入控制)
weixin_45880055的博客
06-10 2895
文章目录一、访问控制概述二、认证管理三、授权管理RoleClusterRoleRoleBindingClusterRoleBindingRoleBinding引用ClusterRole进行授权实例四、准入控制 一、访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群,客户端通常有两类: User Account: 一般是独立于kubern
k8s实战之kubectl
04-08
本课程将详细介绍k8s所有命令,以及命令的go源码分析,学习知其然,知其所以然
Kubernetes详解(五十五)——ClusterRole与RoleBinding
永远是少年
05-11 2501
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes ClusterRole创建和Rolebinding。 一、Kubernetes ClusterRole创建 二、Kubernetes Rolebinding 三、效果展示
k8s 鉴权 配置role和rolebinding包括证书问题 实例
weixin_43205308的博客
03-16 327
这两个文件在 /etc/kubernetes/pki 下就有,不要乱去找证书,不然会就算成功了也会包以下错误。6、设置集群、用户、上下文信息(这里ip是你mater的ip)因为我们权限是默认操作default空间所以可以看到。5、容易踩坑的地方 ca.crt 和 ca.key。这里已经切换用户了所以你看到的*已经在当前用户。2、创建role-binding2.yaml。创建testadmin.key。1、创建role的配置文件。直接复制到你当前路径。
Kubernetes 安全权限管理深度剖析
liuzhen007的专栏
04-15 1383
Kubernetes 作为当下应用最普遍的容器集群管理工具,详细了解它的认证鉴权机制是非常有必要的。本文的主要内容就是增进大家对k8s的认证和鉴权模块的了解,其包括kubernetes准入控制及RBAC的集群认证与鉴权机制。
k8sRBAC和ServiceAccount Clusterrolebinding Clusterrole有什么区别
07-17
RBAC(Role-Based Access Control)、ServiceAccount、ClusterRoleBindingClusterRoleKubernetes的几个重要概念,它们之间有以下区别: 1. RBAC(Role-Based Access Control):RBACKubernetes的一种访问控制机制,用于定义和管理用户、ServiceAccount或其他身份对Kubernetes资源的访问权限。RBAC通过角色(Role)和绑定(Binding)的方式实现权限控制。 2. ServiceAccount:ServiceAccount是Kubernetes用于身份验证和授权的一种特殊类型的账户。每个Pod都会自动关联一个ServiceAccount,它用于标识Pod内运行的应用程序或容器。ServiceAccount可以用于与Kubernetes API进行交互,并通过ClusterRoleBindingClusterRole进行绑定来获取特定的权限。 3. ClusterRoleBindingClusterRoleBinding用于将ClusterRole与用户、ServiceAccount或其他身份进行绑定,从而赋予它们集群级别的权限。ClusterRoleBinding在整个集群范围内生效,可以授予身份对集群级别资源的访问权限。 4. ClusterRoleClusterRoleKubernetes定义权限规则的一种资源对象,用于授予对集群级别资源的操作权限。ClusterRole定义了一组权限规则,可以被绑定到用户、ServiceAccount或其他身份上,通过ClusterRoleBinding赋予它们相应的权限。 总结来说,RBACKubernetes的访问控制机制,ServiceAccount是用于身份验证和授权的账户,ClusterRoleBinding用于将ClusterRole与身份进行绑定,赋予集群级别的权限,而ClusterRole是定义权限规则的资源对象。它们共同工作,用于实现对Kubernetes资源的访问控制和权限管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值