基于角色的权限控制:RBAC

已于 2024-07-08 17:26:53 修改
阅读量250 收藏 6
点赞数 7
分类专栏: kubernetes 文章标签: k8s 云原生
于 2024-07-08 10:54:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45417574/article/details/140262562
版权

基于角色的权限控制:RBAC

什么是RBAC?

我们知道,Kubernetes中所有的API对象都保存在etcd里。可是,对这些API对象的操作一定是

通过访问kube-apiserver实现的。其中一个非常重要的原因是,需要API server来帮忙做授权工作。而在Kubernetes项目中,负责完成授权工作的机制是RBAC

通过下面这两张图,让我们简单了解一下“k8s的安全架构”和“RBAC用户授权的逻辑”

在这里插入图片描述

基本概念

我们在学习RBAC的时候,需要了解3个基本概念:

  1. Role:角色,它其实是一组规则,定义了一组对Kubernetes API对象的操作权限。
  2. Subject:被作用者,即可是“人”,也可以是“机器”(如ServiceAccount),也可以是你在Kubernetes里定义的“用户”
  3. RoleBinding:定义了“被作用者:和“角色”间的绑定关系。它指定了哪些Subject(被作用者)将被赋予某个Role(角色)的权限。

1.Role

Role(角色):代表着一组定义在资源上的可操作动作(权限)的集合,一个角色就是一组权限的集合,这里的权限都是许可形式的,不存在拒绝的规则。Role实际上本身就是一个Kubernetes的API对象,定义如下所示:

kind:Role
apiVersion:rbac.authorization.k8s.io/v1
metedata:
  namespace: mynamespace
  name: example-role
rules: 
- apiGroups: [""]            #支持的API组列表,例如:apiVersion:batch/v1。"" 空字符串,表示核心APIresources: ["pods"]        #支持的资源对象列表,例如pods、deployments等
  verbs: ["get", "watch", "list"]

首先,这个Role对象指定了它能产生作用的Namespace是:mynamespace。Namespace是Kubernetes项目里的一个逻辑管理单位。不同Namespace的API对象在通过kubectl命令进行操作时是相互隔离的。
注意,这里我们需要知道Role的权限规则仅在其定义的命名空间内有效。然后我们可以看到这个Role对象下面的rules字段就是它所定义的权限规则。在上面的例子里,这条规则的含义就是:允许“被作用者”对mynamespace下面的Pod对象进行GET、WATCH、LIST操作。

综上所述,Role是kubernetes RBAC中用于定义命名空间级别资源访问规则的重要API对象,那么问题来了,这个具体的“被作用者”是如何指定的呢?这就需要通过我们接下来要讲的RoleBinding来实现了

2.RoleBinding

RoleBinding(角色绑定):RoleBinding定义了用户和角色的绑定关系。它指定了哪些Subject(被作用者)将被赋予某个Role(角色)的权限。RoleBinding的权限限制规则同样仅在其定义的命名空间内有效,其本身也是一个Kubernetes的API对象,定义如下所示:

kind:RoleBinding
apiVersion:rbac.authorization.k8s.io/v1
metedata:
  namespace: mynamespace
  name: example-rolebinding
subjects:
- kind: User
  name:example-user
  apiGroup: rbac.authorization.k8s.io
roleRef: 
  kind: Role
  name: example-role
  apiGroup: rbac.authorization.k8s.io

可以看到,这个RoleBinding对象里定义了一个subjects字段,即“被作用者”。它的类型是User,即Kubernetes里的用户。这个用户的名字是example-user。

实际上,Kubernetes里的“User”,即“用户”,只是授权系统里的一个逻辑概念。他需要通过外部认证服务(比如Keystone)来提供。或者你也可以直接给API server指定一个用户名、密码文件。那么Kubernetes的授权系统就能够从这个文件里找到对应的“用户”了。当然,在大多数私有的使用环境中,使用Kubernetes提供的内置“用户”就足够了,稍后会介绍这些内容。

接下来,我们可以看到roleRef字段。正式通过该字段,RoleBinding对象可以直接通过名字来引用前面定义的Role对象“example-role”,从而定义了“被作用者”和“角色”之间的绑定关系

需要再次提醒一下各位看官,Role和RoleBinding对象都是Namespace对象,它们对权限的限制规则仅在它们自己的Namespace内有效,roleRef也只能引用当前Namespace里的Role对象
那么,对于非Namespace对象(比如Node),或者某个Role相作用于所有Namespace时,又该如何授权呢?此时就必须使用接下来要讲的ClusterRole和ClusterRoleBinding这两个组合了。

3.ClusterRole和ClusterRoleBinding

看官耐心等待,持续更新码字中…

傲~柏
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
权限系统设计详解(一):RBAC 基于角色的访问控制
路多辛的所思所想
01-31 1580
RBAC(Role-Based Access Control,基于角色的访问控制)是一种被广泛使用的权限管理模型,用于控制用户对系统资源的访问权限。通过将权限角色相关联,然后将角色分配给用户,从而实现更灵活、更易于管理的安全策略。
基于角色权限控制模型RBAC
qq_42582773的博客
10-17 532
RBAC权限模型
RBAC:基于角色权限访问控制
看,未来的博客
05-09 2659
文章目录RBAC模型概述RBAC的组成RBAC支持的安全原则RBAC的优缺点RBAC的3种模型 RBAC模型概述 RBAC模型(Role-Based Access Control:基于角色的访问控制)模型是20世纪90年代研究出来的一种新模型,但其实在20世纪70年代的多用户计算时期,这种思想就已经被提出来,直到20世纪90年代中后期,RBAC才在研究团体中得到一些重视,并先后提出了许多类型的RBAC模型。其中以美国George Mason大学信息安全技术实验室(LIST)提出的RBAC96模型最具有代表,
基于角色权限管理:rbac具体代码实现
weixin_30877181的博客
10-30 194
1 转载于:https://www.cnblogs.com/xiao-xue-di/p/9879324.html
数据库设计:基于角色权限控制RBAC
Rainbow
01-17 171
RBAC
26 _ 基于角色权限控制RBAC1
08-04
在Kubernetes中,基于角色权限控制(Role-Based Access Control, RBAC)是一种关键的安全机制,用于管理和控制用户或服务对集群资源的访问权限RBAC允许管理员精细地定义哪些用户、用户组或服务账户可以执行什么...
26丨基于角色权限控制RBAC.pdf
08-22
基于角色权限控制RBAC 在 Kubernetes 项目中,基于角色权限控制(Role-Based Access Control,简称 RBAC)是一种非常重要的授权机制。它负责完成授权工作,确保 Kubernetes 中的 API 对象的访问安全。RBAC 的...
26 基于角色权限控制RBAC.pdf
09-18
基于角色权限控制(Role-Based Access Control,简称 RBAC)是一种在 Kubernetes 集群中实施权限管理的关键机制。在互联网级别的大规模集群中,RBAC 用于确保只有经过授权的用户或服务能够对资源进行操作,从而...
基于角色的访问控制模型(RBAC
10-12
**基于角色的访问控制RBAC)**解决了上述问题,通过角色来管理权限。在RBAC模型中,权限不再直接赋予用户,而是赋予角色,用户通过被分配到特定角色来获取相应的权限。这样,授权过程简化,管理负担减轻,并且实现...
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制RBAC)模型的中小型应用开发平台,采用前后端分离架构。后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过...
0基础学会在亚马逊云科技AWS上搭建生成式AI云原生Serverless问答Q&A机器人(含代码和步骤)
m0_66628975的博客
07-10 1660
小李哥今天带大家继续学习在国际主流云计算平台亚马逊云科技AWS上开发生成式AI软件应用方案。上一篇文章我们为大家介绍了,如何在亚马逊云科技上利用Amazon SageMaker搭建、部署和测试开源模型Llama 7B。下面我将会带大家探索如何搭建高扩展性、高可用的完全托管云原生基础设施,让终端用户通过云平台访问到部署的开源AI大语言模型。下面就是小李哥做的一个简单Meta Llama 7B问答聊天机器人界面。
云原生监控-Kubernetes-Promethues-Grafana
zy_xingdian的博客
07-08 650
本文章所涉及到技术点包括Prometheus、Grafana、Kubernetes;Prometheus基于外部构建采集并监控Kubernetes集群以及集群中的应用,例如使用mysql-node-exporter、nginx-node-exporter采集Kuebrnetes集群中的应用数据,使用node-exporter、kube-state-metrics等采集Kubernetes集群数据,使用promql对数据进行查询分析;最终实现在Grafana中展示及配置告警以通知策略配置邮件方式通知
云原生存储:使用MinIO与Spring整合
weixin_53840353的博客
07-09 963
MinIO是一个开源的对象存储服务器,它提供了与Amazon S3兼容的API。MinIO的设计目标是提供高性能和可扩展性,使其成为云原生应用的理想选择。MinIO可以部署在物理服务器、虚拟机、容器以及Kubernetes集群中。通过本文的介绍和代码示例,你应该能够在Spring Boot应用中成功整合MinIO,并实现文件的上传和下载功能。MinIO的高性能和与S3兼容的API使其成为云原生应用存储解决方案的优秀选择。希望这些内容对你有所帮助,祝你在云原生应用开发中取得成功!
云原生】AWS云平台,ECR推送Helm chart包
CN_Eden
07-08 327
背景三:随着兼容 OCI 规范的 Helm Chart 在社区上被更广泛地接受,Helm Chart 能以 Artifact 的形式在 Harbor 中存储和管理,不再依赖 ChartMuseum,Harbor从 v2.6.0 开始弃用 Chartmuseum,并在 v2.8.0 中开始删除。1)容器镜像格式规范 (Image Specification):规定了容器镜像应该包含什么以及如何构建和分发镜像,以便容器可以在任何遵循 OCI 标准的运行时中运行。所以,建议大家还是尽快使用OCI规范。
基于DPU的云原生计算资源共池管理解决方案
yusur的博客
07-08 1283
为了解决上述问题,我们提出了基于DPU的云原生计算资源共池管理解决方案,结合了DPU的硬件优势与Kubernetes的能力和插件生态,在Kubernetes架构下实现了虚拟机、裸金属和容器资源的无缝整合与统一管理,可以实现当某一类资源池(如虚拟机资源池)面临资源紧张时,系统能够自动从共享资源池中调用资源,实现Worker节点的快速扩容,而当资源需求下降时,又能够智能缩容,将多余Worker节点回收至共享池中,确保资源的按需分配与适时释放。资源池的独立管理导致了资源利用率的显著下降。
k8s核心操作_k8s中的存储抽象_基本概念与NFS搭建_Deployment使用NFS进行挂载---分布式云原生部署架构搭建028
添柴程序猿的专栏
07-12 268
这个就是将172.31.0.4:/nfs/data nfs server 中的这个节点中的/nfs/data这个文件夹 挂载到/nfs/data 本地的node1 的这个目录上去。上面/nfs/data 是NFS主节点创建的目录, 然后/bak/data是在 NFS的从节点node1 node2上的目录,实际上。NFS的主节点master节点,创建一个目录/nfs/data 然后我们再在node1,节点,node2节点,分别。
k8s核心操作_Deployment的扩缩容能力_Deployment自愈和故障转移能力---分布式云原生部署架构搭建022
添柴程序猿的专栏
07-09 116
replicas修改这个就可以了,修改以后,然后esc退出:wq保存就可以了.故障转移就是如果,一个机器宕机了,那么在这个机器上的pod,会被在其他。不能设置太小了,如果太小,可能会产生问题,就是不停的转移,就有问题了.node1上的pod被自动转移到了node2上了,可以看到。而故障转移的时间,一般都是5分钟,1分钟,2分钟可以设置,我们等一会可以看到,当node1机器关闭以后,可以看到。登录以后可以看到在deployment中,可以看到。可以看到w6shc,这个在node1上对吧.
中科曙光ParaStor300s分布式存储整机更换操作手册.docx
07-12
中科曙光ParaStor300s分布式存储整机更换操作手册.docx
Vue 面试指南附源代码
最新发布
07-12
项目总结 本文档详细介绍了Vue.js的技术要点、常见面试问题及其解答,以及几道面试编程题的实现。通过这些内容,读者可以深入理解Vue.js的核心概念和应用,并通过实际编程练习提升面试准备的效率和效果。希望本文档能够帮助读者在Vue.js相关的面试中脱颖而出,取得成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值