K8s ServiceAccount与RBAC

最新推荐文章于 2024-08-19 10:52:05 发布
最新推荐文章于 2024-08-19 10:52:05 发布
阅读量627 收藏 2
点赞数
分类专栏: 云原生 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38376348/article/details/122518220
版权

借用华为云官方的一个图,比较形象:

目录

ServiceAccount

创建账户

创建pod并在pod内使用

配置Role通过RoleBinding绑定sa-example

创建Role并配置权限

通过RoleBinding指定角色并绑定ServiceAccount

ServiceAccount

ServiceAccount主要作用是pod和apiserver交互

创建账户

创建一个 ServiceAccount(默认命令空间default)

kubectl create serviceaccount sa-example

查看ServiceAccount

kubectl get sa

查看其token

kubectl describe sa sa-example

 查看token对应Secret kubectl describe secret sa-example-token-r6jc7

创建pod并在pod内使用

创建pod,指定刚才创建的ServiceAccount (sa-example),编辑sa-pod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: sa-example
spec:  
  serviceAccountName: sa-example
  containers:
  - image: nginx:alpine             
    name: container-0               
    resources:                      
      limits:
        cpu: 100m
        memory: 200Mi
      requests:
        cpu: 100m
        memory: 200Mi
  imagePullSecrets:            
  - name: default-secret

创建pod,   kubectl create -f sa-pod.yaml

查看pod创建情况:kubectl describe pod sa-example

 进入pod内部:kubectl exec -it sa-example -- /bin/sh

 

访问apiserver

export CURL_CA_BUNDLE=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)
curl -H "Authorization: Bearer $TOKEN" https://kubernetes

可以发现没有访问权限

配置Role通过RoleBinding绑定sa-example

k8s使用RBAC进行认证,下面是涉及到的四种资源

Role:角色,其实是定义一组对Kubernetes资源(命名空间级别)的访问规则。
RoleBinding:角色绑定,定义了用户和角色的关系。
ClusterRole:集群角色,其实是定义一组对Kubernetes资源(集群级别,包含全部命名空间)的访问规则。
ClusterRoleBinding:集群角色绑定,定义了用户和集群角色的关系。

创建Role并配置权限

配置在default下pod进行GET/LIST操作

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default                          # 命名空间
  name: role-example
rules:
- apiGroups: [""]
  resources: ["pods"]                         # 可以访问pod
  verbs: ["get", "list"]                      # 可以执行GET、LIST操作

通过RoleBinding指定角色并绑定ServiceAccount

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-example
  namespace: default
subjects:                                 # 指定用户
- kind: User                              # 普通用户
  name: user-example
  apiGroup: rbac.authorization.k8s.io
- kind: ServiceAccount                    # ServiceAccount
  name: sa-example
  namespace: default
roleRef:                                 
  kind: Role
  name: role-example                      # 指定角色
  apiGroup: rbac.authorization.k8s.io

讲上述两个RoleBinding.yaml合并成一步操作

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: role-example
rules:
  - apiGroups: [""] # The API group "" indicates the core API Group.
    resources: ["pods"]
    verbs: ["get", "watch", "list"]
    nonResourceURLs: []
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-example
  namespace: default
subjects:
  - kind: User                              # 普通用户
    name: user-example
    apiGroup: rbac.authorization.k8s.io
  - kind: ServiceAccount                    # ServiceAccount
    name: sa-example
    namespace: default
roleRef:
  kind: Role
  name: role-example
  apiGroup: rbac.authorization.k8s.io

在pod内再次访问发现已经拥有权限 

​​​​​​​

参考ServiceAccount_云容器引擎 CCE_Kubernetes基础知识_认证与授权_华为云​​​​​​​

参考RBAC_云容器引擎 CCE_Kubernetes基础知识_认证与授权_华为云 

参考Kubernetes(k8s)中文文档 名词解释:Service Account_Kubernetes中文社区 

Adsatrtgo
关注
专栏目录
k8s权限控制RBAC中的clusterrole serviceaccount rolebinding 有什么作用
u010674101的专栏
10-14 386
Kubernetes 的权限控制模型中,RBAC(基于角色的访问控制,Role-Based Access Control)用于管理对集群资源的访问权限。和是其中的关键概念。
kubernetes10——访问控制(serviceaccount、useraccountRBAC
qwejiaji的博客
08-05 932
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
K8S原来如此简单(八)ServiceAccount+RBAC
weixin_45566993的博客
03-27 2363
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475目录 ServiceAccount RBAC 正文 回到顶部## ServiceAccount ServiceAccount是给运行在Pod的程序使用的身份认证,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户。 ServiceAccou
K8sService AccountRBAC
l1727377的博客
12-16 2943
①.ServiceAccount(服务账户)是Kubernetes集群中的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够与Kubernetes API进行交互。②.ServiceAccountKubernetes中用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群中具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
云原生RBAC授权详解
最新发布
weixin_73059729的博客
08-19 1215
基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。RBAC签权机制使用API(Kubernetes API中的一组相关路径)组来驱动签权决定,允许你通过Kubernetes API动态配置策略。
k8s认证及serviceaccountRBAC
草莓甜甜圈的博客
01-16 2018
目前RBACk8s授权方式最常用的一种方式。 在k8s上,一个客户端向apiserver发起请求,需要如下信息: 1)username,uid, 2) group, 3) extra(额外信息) 4) API 5) request path,例如:http://127.0.0.1:8080/apis/apps/v1/namespaces/kube-system/d 6)HTTP...
大白话 k8s UserAccount ServiceAccount RBAC之间的关系
yanchendage的博客
10-28 767
账户类型 User Account(用户账户) Service Account(服务账户) User Account是为人设计的,而Service Account则是为Pod中的进程调用Kubernetes API而设计。 大白话,k8s就是一个会所,User Account就是你能不能进会所的凭证,光进会所没用,Service Account是你能不能获取服务的凭证, 你到底能获取什么服务呢?这就要将Service Accountrbac进行绑定了。会所有很多的角色role,大玩家,超级大玩家,顶.
27-【kubernetesK8s集群涉及到的Service AccountRBAC
qq_42303254的博客
12-17 114
https://www.cnblogs.com/panwenbin-logs/p/10029834.html ——Service Account https://www.cnblogs.com/panwenbin-logs/p/10046572.html ——RBAC(基于角色的访问控制)
k8sServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8sRBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
K8S根据serveraccount权限生成kubeconfig
u013488094的博客
03-10 848
K8S根据serveraccount权限生成kubeconfig 一、 将如下脚本拷贝到节点上: #!/bin/bash # 文件名: gen.sh set -e set -o pipefail # Add user to k8s using service account, no RBAC (must create RBAC after this script) if [[ -z "$1" ]] || [[ -z "$2" ]]; then echo "usage: $0 <service_ac
k8s:RBAC
m0_50434960的博客
03-12 494
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
k8sRBAC角色访问控制之serviceaccount
weixin_44946147的博客
06-22 562
k8sRBAC角色访问控制之serviceaccount
k8s rbac
SHELLCODE_8BIT的博客
03-10 1655
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
云原生 | Kubernetes 实战】18、K8s 安全实战篇之 RBAC 认证授权(下)
Stars.Sky 的博客
12-30 1121
k8s 中限制用户的权限!
kubernetes系列之《k8s基于RBAC的授权》
西西工作室
04-02 1027
一、RBAC介绍 基于角色的访问控制(Role-Based Access Control,即“RBAC”)使用“rbac.authorization.k8s.io” Apo Group实现授权决策,允许管理员通过Kubernetes Api动态配置策略。 要启用RBAC,请使用 --authorization-mode=RBAC启动API Server。 在RABC API中,通过如下的步骤进行授...
Kubernetesk8s)权限管理RBAC
驰兔的博客
03-13 1022
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2477
随着Kubernetes云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
k8s基础(14)之RBAC角色权限控制
qq_23435961的博客
09-21 1189
k8s基础()之RBAC角色权限控制 RBAC是基于角色的访问控制 (Role-Based Access Control) 在RBAC中,权限与角色相关联。Kubernetes 基于角色的访问控制使用rbac.authorization.k8s.io API组来实现权限控制,RBAC允许管理员通过Kubernetes API动态的配置权限策略。如果需要开启RBAC授权需要在apiserver组件中指定--authorization-mode=Node,RBACKubernetes中所有的API对象都保存
k8s 基于RBAC的认证、授权介绍和实践
「 虚幻私塾」
01-23 914
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
k8sRBACServiceAccount Clusterrolebinding Clusterrole有什么区别
07-17
总结来说,RBACKubernetes中的访问控制机制,ServiceAccount是用于身份验证和授权的账户,ClusterRoleBinding用于将ClusterRole与身份进行绑定,赋予集群级别的权限,而ClusterRole是定义权限规则的资源对象。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值