Kubernetes——服务账号与权限

已于 2023-02-01 11:18:10 修改
阅读量369 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes docker 容器
于 2023-02-01 11:09:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41358740/article/details/128829179
版权

文章目录

服务账号与权限

用户认证

  • 所有kubernetes集群都有两类用户:由kubernetes管理的服务账号和普通用户
  • 普通用户是以证书或密钥形式签发,主要用途是认证和鉴权,集群中并不包含用来代表普通用户帐号的对象,普通用户的信息无法调用和查询
  • 服务帐号是kubernetes API所管理的用户。它们被绑定到特定的名称空间,与一组Secret凭证相关联,供Pod调用以获得相应的授权

serviceaccount

# 创建ServiceAccount
[root@master ~]# vim admin-user.yaml
---
kind: ServiceAccount
apiVersion: v1
metadata:
  name: dashboard-admin					# ServiceAccount名称
  namespace: kubernetes-dashboard		# 名称空间

[root@master ~]# kubectl apply -f admin-user.yaml 
serviceaccount/dashboard-admin created
[root@master ~]# kubectl -n kubernetes-dashboard get serviceaccounts 
NAME                   SECRETS   AGE
dashboard-admin        1         61s
default                1         79m
kubernetes-dashboard   1         79m
# 每个ServiceAccount都会关联一个Secrets
[root@master ~]# kubectl -n kubernetes-dashboard describe serviceaccounts dashboard-admin 
Name:                dashboard-admin
Namespace:           kubernetes-dashboard
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   dashboard-admin-token-6kf8l
Tokens:              dashboard-admin-token-6kf8l
Events:              <none>
# Token保存在Secrets
[root@master ~]# kubectl -n kubernetes-dashboard describe secrets dashboard-admin-token-6kf8l 
Name:         dashboard-admin-token-6kf8l
Namespace:    kubernetes-dashboard
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: dashboard-admin
              kubernetes.io/service-account.uid: 0cfe4f55-8cc3-42fd-b88b-84f49604ae56

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1099 bytes
namespace:  20 bytes
token:      <Base64 编码的令牌数据>

角色与鉴权

  • 如果想访问和管理kubernetes集群,就要对身份以及权限做验证,kubernetes支持的鉴权模块有Node、RBAC、ABAC、Webhook API
    • Node:一种特殊用途的鉴权模式,专门对kubelet发出的请求进行鉴权
    • RBAC:是一种基于组织中用户的角色来控制资源使用的方法
    • ABAC:基于属性的访问控制,是一种通过将用户属性与权限组合在一起像用户授权的方法
    • Webhook:是一个HTTP回调

RBAC声明了四种kubernetes对象:

Role:用来在某一个名称空间内创建授权角色,创建 Role 时,必须指定所属的名字空间的名字。
ClusterRole:可以和 Role 相同完成授权。但属于集群范围,对所有名称空间有效。
RoleBinding:是将角色中定义的权限赋予一个或者一组用户,可以使用 Role 或 ClusterRole 完成授权。
ClusterRoleBinding:在集群范围执行授权,对所有名称空间有效,只能使用 ClusterRole 完成授权。

# 查询当前集群使用的鉴权方法
[root@master ~]# grep authorization-mode /etc/kubernetes/manifests/kube-apiserver.yaml 
    - --authorization-mode=Node,RBAC
 
[root@master ~]# vim myrole.yaml 
# 自定义角色
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: myrole		# 角色名称
rules:				# 规则
- apiGroups:		# 资源对象所属组信息
  - ""				# 分组信息
  resources:		# 要设置权限的资源对象
  - pods			# 资源对象名称,使用api-resource查询
  verbs:			# 权限设置
  - get				# 权限
  - list			# 权限

# 给dashboard-admin授权
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: dashboard-admin		# 授权策略名称
roleRef:					# 关联权限
  apiGroup: rbac.authorization.k8s.io	# 角色对象组
  kind: Role				# 角色对象
  name: myrole				# 角色名称
subjects:					# 授权信息
- kind: ServiceAccount		# 账号资源对象
  name: dashboard-admin		# 账号名称
  namespace: kubernetes-dashboard		# 账号所在的名称空间

[root@master ~]# kubectl apply -f myrole.yaml 
role.rbac.authorization.k8s.io/myrole created
rolebinding.rbac.authorization.k8s.io/dashboard-admin created

[root@master ~]# kubectl delete -f myrole.yaml 
role.rbac.authorization.k8s.io "myrole" deleted
rolebinding.rbac.authorization.k8s.io "dashboard-admin" deleted

使用ClusterRole授管理员权限

[root@master ~]# kubectl get clusterrole
NAME                              CREATED AT
admin                             2022-06-24T08:11:17Z
cluster-admin                     2022-06-24T08:11:17Z
... ...

[root@master ~]# cat admin-user.yaml 
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: dashboard-admin
  namespace: kubernetes-dashboard

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: dashboard-admin		# 授权策略名称
roleRef:					# 关联权限
  apiGroup: rbac.authorization.k8s.io	# 角色对象组
  kind: ClusterRole			# 角色对象
  name: cluster-admin		# 角色名称,这里使用了管理员角色
subjects:					# 授权信息
- kind: ServiceAccount		# 账号资源对象
  name: dashboard-admin		# 账号名称
  namespace: kubernetes-dashboard		# 账号所在的名称空间

[root@master ~]# kubectl apply -f admin-user.yaml 
serviceaccount/dashboard-admin unchanged
clusterrolebinding.rbac.authorization.k8s.io/dashboard-admin created
窒息う
关注
专栏目录
K8S系列学习之Dashboard安装和使用
tianyangqi的专栏
12-24 1589
Kubernetes学习路上的那些事儿,很有必要分享出来 什么是Dashboard 毫无疑问,Dashboard肯定是个外来词,俗称“仪表盘”,或者“驾驶舱”,其实就是一个“所见即所得”的图形化操作界面,方便我们操作Kubernetes资源,只需要通过鼠标“点点点”就可以实现想要的配置和功能,在前面的帖子中,我们都是通过命令行的模式去创建、配置Kubernetes资源的。 顺便也登陆Kubernetes官网,看看官方的描述吧。 实验过程 实验准备: K8S集群...
kubernetes10——访问控制(serviceaccount、useraccount、RBAC)
qwejiaji的博客
08-05 899
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
Dashboard 介绍
yuxingwu9872的博客
04-30 1538
其中,User给人用,Service Account给进程用,让进程有相关权限kubernetes-dashboard-minimal,roleRef中为被绑定的角色,也叫kubernetes-dashboard-minimal,subjects中为绑定的用户:kubernetes-dashboard。简单的说,K8S Dashboard是官方的一个基于WEB的用户界面,专门用来管理K8S集群,并可展示集群的状态。如下图,灰色是“角色”,蓝色是“用户”,绿色是“角色绑定”,黄色是该角色拥有的权限
K8s之DashBoard
mushuangpanny的博客
09-20 6567
kubernetes中完成的所有操作都是通过命令行工具kubectl完成的。为了提供更丰富的用户体验,k8s还开发了一个基于web的用户界面(Dashboard)。用户可以使用Dashboard部署容器化的应用,还可以监控应用的状态,执行故障排查以及管理k8s中各种资源。
测试人必会 K8S 操作之 Dashboard
朱雀随云记的博客
07-12 965
然而,自从他开始使用 Dashboard 后,不仅减少了操作失误,还极大地提高了工作效率。这篇文章通过详尽的实例和社会现象的分析,展示了 K8S Dashboard 在 Kubernetes 管理中的重要性,并通过引人入胜的开头和有力的金句收尾,使读者对 Dashboard 产生了深刻的印象和实际操作的兴趣。dashboard还提供了对于其他的资源进行操作功能,包括service、deployment、ingress、replicaset等等,通过可视化页面管理K8S能够很大程度上提高K8S的使用体验。
kubernetes(K8S)学习(六):K8S之Dashboard图形界面
꯭ 瞎꯭扯꯭蛋꯭的博客
03-29 2563
官网Dashboard是基于web的Kubernetes用户界面。您可以使用指示板将容器化的应用程序部署到Kubernetes集群,对容器化的应用程序进行故障排除,并管理集群资源。您可以使用Dashboard来获得运行在集群上的应用程序的概览,以及创建或修改单独的Kubernetes资源(例如部署、作业、守护进程集等)。例如,您可以扩展部署、发起滚动更新、重新启动pod或使用部署向导部署新的应用程序。
k8s的web管理工具
mg0324的专栏
11-21 2540
因子 经过最近关于k8s管理工具的广度探索,了解到如下的管理工具,有的自己安装体验了,有的没有。如下列举出来的项目,推荐使用rancher。 另外本文不会详细说明各个项目如何安装,只做资料收集。 管理界面级 kube-dashboard - k8s官方 weavescope kuboard kubePi webKubectl KubeOperator 企业级k8s管理平台 rancher - rancher kubesphere - QingClound青云 okd - Red Hat KubeOp
Kubernetes和Jenkins——基于Kubernetes构建Jenkins持续集成平台
CSDN_KONGlX的博客
07-07 3693
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
Nacos服务注册与发现——服务发现
weixin_51966377的博客
06-17 4703
Nacos服务注册与发现——服务发现
kubernetes访问控制——Authentication认证、Authorization授权、服务账户的自动化
Aimee_c的博客
07-05 2261
文章目录1.kubernetes API 访问控制2. Authentication(认证)1.创建serviceaccount2.添加secrets到serviceaccount3.把serviceaccount和pod绑定起来:4. 创建UserAccount3. Authorization(授权)3.1 RBAC(基于角色访问控制授权)介绍3.2 RBAC授权1.创建Role(权限的集合)2. RoleBinding和ClusterRoleBinding3.1 RBAC 1.kubernetes AP
Kubernetes权限管理详解
zou8944的博客
12-03 1882
前面介绍过Kubernetes的结构组成,其中API Server用于与外界的交互,我们常用的命令行工具kubectl、UI工具lens、云服务商提供的WebUI,最终都是通过Restfule API的形式,走HTTP协议,到达API Server。此时就带来权限控制问题。 如上图,对来自外部的请求,Api Server会经过三个组件 Authentication:认证,验证用户的合法性,并从中提取出用户信息,如用户名、组等 Authorization:鉴权,鉴定该用户是否有权限访问指定资源 Admis
部署 K8s 图形化管理工具 Dashboard
最新发布
misakivv的博客
08-17 1415
Kubernetes Dashboard是一个Web UI,用于管理Kubernetes集群中的应用程序和资源。它提供了一个可视化的界面,可以方便地查看和管理Kubernetes集群中的各种资源,如Pod、Deployment、Service、ConfigMap等。Dashboard还提供了一些高级功能,如日志查看、资源监控、命名空间管理等。
k8s Dashboard 仪表盘
zhanlijuan
10-25 1330
一、 查看 Dashboard 部署信息 1 查看pod kubectl get po -n kube-system # -n 指命名空间 2 查看service kubectl get svc -n kube-system https协议访问,映射的端口号30042访问 https://192.168.64.191:30042/ 3 获取令牌token # 获取 Bearer Token,复制输出中 ‘token:’ 开头那一行 k -n kube-system describe secret
k8s搭建DashBoard
m0_53157173的博客
09-05 951
之前在kubernetes中完成的所有操作都是通过命令行工具kubectl完成的。其实,为了提供更丰富的用户体验,kubernetes还开发了一个基于web的用户界面(DashBoard)。用户可以使用DashBoard部署容器化的应用,而且还可以监控应用的状态,执行故障排查以及管理kubernetes中的各种资源。
K8S(kubernetes)学习(六):K8S之Dashboard图形界面
HaleyTiger的博客
01-15 2491
一、Dashboard简介 官网:https://kubernetes.io/docs/tasks/access-application-cluster/web-ui-dashboard/   Dashboard是基于web的Kubernetes用户界面。您可以使用指示板将容器化的应用程序部署到Kubernetes集群,对容器化的应用程序进行故障排除,并管理集群资源。您可以使用Dashboard来获得运行在集群上的应用程序的概览,以及创建或修改单独的Kubernetes资源(例如部署、作业、守.
k8s dashboard的安装、k8s图形化工具kubeoard的安装
MssGuo的博客
02-04 3727
前言 环境:centos7.9 docker-ce-20.10.9 kubernetes-version v1.22.6 kubernetes-dashboard v2.5.0 什么是dashboard dashboard是kubernetes集群的Web UI,用户可以通过dashboard进行管理集群内所有资源对象,例如查看资源对象的运行情况,部署新的资源对象,伸缩deployment中的pod数量等等一系列操作。 部署dashboard 方法一、直接一键运行,默认dashboard以aip方式运行 [
k8s 配置dashboard
哈哈虎的博客
11-04 6152
[https://github.com/kubernetes/dashboard](https://github.com/kubernetes/dashboard) 下载 # wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.4.0/aio/deploy/recommended.yaml 改用 NodePort 方式访问 # vim recommended.yaml Creating sample user 创建一
【3】k8s搭建DashBoard
强哥的微博
01-13 2812
k8s搭建dashboard,成功搭建图像化界面
K8S dashboard
sda1_hacker的博客
07-09 230
k8s dashboard,关闭自动生成证书。使用自定义证书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值