k8s 基于RBAC的认证、授权介绍和实践

最新推荐文章于 2024-10-07 22:00:58 发布
最新推荐文章于 2024-10-07 22:00:58 发布
阅读量914 收藏 3
点赞数
分类专栏: python 文章标签: 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43479892/article/details/122647007
版权
本文介绍了Kubernetes中的认证与授权机制,重点讲解了通过证书认证和基于RBAC的授权。内容包括证书认证的过程,创建和配置客户端证书,以及RBAC中的Role、ClusterRole、RoleBinding和ClusterRoleBinding的使用。通过实践操作,演示了如何为用户授予读取命名空间的权限。
摘要由CSDN通过智能技术生成

Python微信订餐小程序课程视频

https://edu.csdn.net/course/detail/36074

Python实战量化交易理财系统

https://edu.csdn.net/course/detail/35475
在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission Control(准入控制)。通过一系列验证后才能完成交互。

Kubernetes API 请求从发起到持久化到ETCD数据库中的过程如下:

image-20220121201812274

“三个A”我们可以简单理解为:

  • Authentication:**你是谁?**你能登录系统么?
  • Authorization:**你想做什么?**你有相应的权限么?
  • Admission Control: 在apiserver中准入控制会以控制器插件的方式存在,类似于各类web框架中的中间件,可以在kube-apiserver的yml中添加控制器插件--enable-admission-plugins开启。

这篇小作文我们主要来学习K8S中关于认证与授权相关的知识,看看他们是如何实现的。包含如下内容:

  • K8S 通过证书认证
  • K8S 通过RBAC 授权
一、 K8S 通过证书认证

Authentication(身份认证),即核查用户能否进入K8s集群。一般来说k8s中有两类用户,普通用户和服务账户(Service Account)。

普通用户,使用者是人,即用户可以通过 kubectl 命令、或通过REST请求访问 API,但是请注意K8s不提供普通用户管理的资源对象,那所谓的普通用户哪里的?很简单只要你能通过k8s身份认证策略那么你就是一个普通用户。而Service Account 则是针对运行在 Pod 中的进程而言的。

K8S的几种验证方式:

  • Certificate
  • Token
  • OpenID
  • Web Hook

其中Certificate(证书)是在普通用户(客户端)中被广泛使用的验证方式。通过客户端证书进行身份验证时,

最低0.47元/天 解锁文章
如何使用RBAC授权和OPA来保护Kubernetes集群 Securing Kubernetes Clusters with RBAC Authorization
AI天才研究院
08-13 115
Kubernetes是一个开源容器集群管理系统,通过提供自动化部署、横向扩展和滚动更新等功能,能够方便地部署容器化应用。它具有强大的API,允许用户创建、配置和管理多个容器化应用,并提供丰富的工具和组件来简化部署流程。在生产环境中,为了确保应用的安全性,需要对集群进行保护,以防止恶意攻击或安全漏洞导致的应用损失。在Kubernetes集群中,可以使用基于角色的访问控制(RBAC)和开放策略代理(OPA)实现权限控制。本文将讨论如何使用RBAC授权和OPA来保护Kubernetes集群。
基于k8s的web服务器集群构建和高可用负载均衡的实现
pending6的博客
09-28 803
项目描述/项目功能:模拟k8s生产环境,部署web,mysql,nfs,harbor,Prometheus等应用,构建一个高可用高性能的web系统,同时能监控整个k8s集群的使用。项目环境:Harbor 2.4.1,nfs v4等环境准备:5台全新的Linux服务器,关闭firewall和seLinux,配置静态ip地址,修改主机名,添加hosts解析IP地址规划:ServerIPk8s-masterk8s-node-1k8s-node-2ansible修改主机名升级系统。
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1638
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
K8S认证授权与准入控制(RBAC)详解
weixin_33915554的博客
04-17 861
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
K8s】专题十四(1):Kubernetes 安全机制之 RBAC
最新发布
运维、实施交付领域知识交流
10-07 2587
Kubernetes 专题 - 安全机制之 RBAC
Kubernetes(k8s)权限管理RBAC
驰兔的博客
03-13 1022
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 591
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC
Kubernetes身份认证授权操作全攻略:K8s 访问控制入门
Rancher
08-14 825
随着Kubernetes被广泛使用,成为业界公认的容器编排管理的标准框架,许多开发人员以及管理员对部署、弹性伸缩以及管理容器化应用程序等Kubernetes的关键概念都十分熟悉。而对于生产部署而言,Kubernetes的安全性至关重要。因此,了解平台如何管理用户和应用程序的身份认证授权十分必要。 我们将推出一系列文章,以一种实践性的视角来了解平台内部的Kubernetes和Pod外部用户...
Kubernetes(K8s) CKA 认证班(第4期,2021年3月课程,基于V1.20最新版本).rar
05-07
"Kubernetes(K8s)CKA 认证班(第4期,2021年3月课程,基于V1.20最新版本).txt" 这个文件很可能是课程大纲或学习资料,包括了整个认证课程的详细内容。通过这个资源,你可以获得系统性的学习路径,包括理论讲解、...
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 1942
RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
kubernetes系列之《k8s基于RBAC授权
西西工作室
04-02 1027
一、RBAC介绍 基于角色的访问控制(Role-Based Access Control,即“RBAC”)使用“rbac.authorization.k8s.io” Apo Group实现授权决策,允许管理员通过Kubernetes Api动态配置策略。 要启用RBAC,请使用 --authorization-mode=RBAC启动API Server。 在RABC API中,通过如下的步骤进行授...
k8s - 安全认证RBAC
栋院
03-18 3040
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2476
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
k8s-RBAC
kxq的博客
12-22 643
一、认证 1.进入到证书目录 cd /etc/kubernetes/pki/ 2.创建kxq用户的私钥 (umask 077; openssl genrsa -out kxq.key 2048 ) 3.创建kxq用户的证书 openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq" 4.利用ca.crt,ca.key进行签证 [root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.cr
k8s rbac
SHELLCODE_8BIT的博客
03-10 1655
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1093
K8s上的RBAC设计和实现方式说明
k8s:RBAC
m0_50434960的博客
03-12 494
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
k8s--基础--23.1--认证-授权-准入控制--介绍
zhou920786312的博客
08-15 251
对于k8s访问来讲,ssl认证能让客户端确认服务器的认证身份。我们在跟服务器通信的时候,需要服务器发过来一个证书,我们需要确认这个证书是不是ca签署的,如果是我们认可的ca签署的,里面的subj信息与我们访问的目标主机信息保持一致,没有问题,那么我们就认为服务器的身份得到认证了,k8s中最重要的是服务器还需要认证客户端的信息,kubectl也应该有一个证书,这个证书也是server所认可的ca签署的证书,双方需要互相认证,实现加密通信,这就是ssl认证。...
Kubernetes K8S之鉴权RBAC详解
踏歌行的专栏
12-06 1869
Kubernetes K8S之鉴权概述与RBAC详解
K8s如何实现授权认证
05-23
Kubernetes (K8s) 提供了多种身份验证和授权机制,包括基于令牌、基于证书、基于 OpenID Connect 等。以下是 K8s认证授权机制: 1. 基于令牌的认证K8s 使用令牌进行用户身份验证。用户可以使用用户名和密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值