kubernetes10——访问控制(serviceaccount、useraccount、RBAC)

最新推荐文章于 2023-09-07 23:18:10 发布
最新推荐文章于 2023-09-07 23:18:10 发布
阅读量864 收藏 5
点赞数 1
分类专栏: 企业实战系列 文章标签: linux docker 运维 负载均衡 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwejiaji/article/details/119411098
版权
本文介绍了Kubernetes中的访问控制,重点讲解了ServiceAccount、UserAccount以及基于角色的访问控制(RBAC)。内容涵盖了ServiceAccount的创建与授权,UserAccount的使用,以及RBAC的四种类型Role、ClusterRole、RoleBinding和ClusterRoleBinding的详细解释,同时展示了如何通过RoleBinding将权限授予用户。
摘要由CSDN通过智能技术生成

目录

一、访问控制

在这里插入图片描述
流程:认证授权准入控制

  • Authentication(认证)
    认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。
  • Authorization(授权)
    必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。
  • Admission Control(准入控制)
    用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。
  • Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)(Users Accounts)普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。
  • 访问k8s的API Server的客户端主要分为两类:
    kubectl:用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
    pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多。
  • UserAccountserviceaccount
    用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
    用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
    通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

二、ServiceAccount

创建serviceaccount,此时k8s为用户自动生成认证信息,但没有授权
在这里插入图片描述
添加secrets到serviceaccount中,如果有pod使用admin这个serviceaccount就可以调用myregistrykey,但无法破解具体密码

[root@server2 ~]# kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
serviceaccount/admin patched

myregistrykey和admin绑定成功
在这里插入图片描述

把serviceaccount和pod绑定起来(将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多)

[root@server2 configmap]# cat registry.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: game2048
    image: reg.westos.org/westos/game2048:latest
  serviceAccountName: admin
[root@server2 configmap]# kubectl apply -f registry.yaml 
pod/mypod created
[root@server2 configmap]# kubectl get pod
NAME    READY   STATUS    RESTARTS   AGE
mypod   1/1     Running   0          50s
[root@server2 configmap]# kubectl get pod mypod -o yaml #看到mypod产生时,调用了admin

在这里插入图片描述

三、UserAccount

创建UserAccount

[root@server2 configmap]# cd /etc/kubernetes/pki/      #可以看到有许多证书
[root@server2 pki]# openssl genrsa -out test.key 2048  #创建认证密钥
Generating RSA private key, 2048 bit long modulus      #提交证书申请请求
.
最低0.47元/天 解锁文章
贾几人要努力
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kuberneteskubernetes api访问控制useraccountserviceaccount的创建和绑定、rbac基于角色的访问授权
weixin_43384009的博客
05-07 3000
kubernetes1. kubernetes api访问控制2. 访问k8s的API Server的客户端3. UserAccountserviceaccount3.1 创建serviceaccount:3.2 添加secrets到serviceaccount中3.3 把serviceaccount和pod绑定起来:3.4 创建useraccount4. RBAC基于角色访问控制授权4.1 R...
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
audit2rbac 总览 audit2rbac将和用户名作为输入,并生成角色和绑定对象,以覆盖该用户提出的所有API请求。...使用--serviceaccount <namespace>:指定服务帐户 运行audit2rbac ,捕获输出: audit2r
KubernetesserviceAccount资料搜集
BigData_Mining的博客
03-12 1251
secret查看与删除 qyh@qyh-mas:/home/work$ kubectl get secret NAME TYPE DATA AGE default-token-gdzv4 kubernetes.io/service-account-token 3 15d jay...
k8s:UserAccountServiceAccount、Role、ClusterRole
最新发布
weixin_50606361的博客
09-07 1059
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
kubernetes 认证及 serviceaccount
FR13DNS的博客
06-25 279
整个 k8s 集群的 APIserver 是访问控制的唯一入口,但不会限制应用程序,任何用户试图操作资源对象时,要经历三个环节 认证: 访问 k8s 的账号和安全认证 授权: 是否有操作资源对象的权限 准入控制: 级联的其他资源是否有权限 用户可以通过多种插件来选择通过何种逻辑方式完成认证和准入控制如: token、SSL 等,其中 SSL 认证客户端需要验证服务端的 CA 证书同时,服务端也要认证 kubectl 的 CA 证书.如果环境中存在多个认证插件则不会串行认证,授权来说也可以通过插件来完成用
Kubernetes中的service account
韦远科的专栏
02-15 7180
service account,顾名思义,主要是给service使用的一个账号。 具体一点,就是为了让Pod中的进程、服务能访问k8s集群而提出的一个概念,基于service account,pod中的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。 kubernetes中,每个命名空间默认会有一个名为“default”的serv...
26 _ 基于角色的权限控制:RBAC1
08-04
Kubernetes中,基于角色的权限控制(Role-Based Access Control, RBAC)是一种关键的安全机制,用于管理和控制用户或服务对集群资源的访问权限。RBAC允许管理员精细地定义哪些用户、用户组或服务账户可以执行什么...
K8S创建用户账号User Account并赋予权限
06-12
Kubernetes(K8S)集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限...
RBAC实验手册1
08-03
Kubernetes环境中,Role-Based Access Control (RBAC) 是一种重要的权限管理机制,它允许管理员精细控制用户或服务账户对集群资源的访问。本实验手册主要涵盖了如何在Kubernetes中创建和配置RBAC规则,以及如何...
26 基于角色的权限控制:RBAC.pdf
09-18
基于角色的权限控制(Role-Based Access Control,简称 RBAC)是一种在 Kubernetes 集群中实施权限管理的关键机制。在互联网级别的大规模集群中,RBAC 用于确保只有经过授权的用户或服务能够对资源进行操作,从而...
Kubernetes 11 (API访问控制serviceaccountuseraccountRBAC、PSP安全策略配置)
qq_38664479的博客
09-29 666
目录一、kubernetes访问控制原理二、API Server认证三、UserAccount四、RBAC(基于角色访问控制)授权五、服务账户的自动化 一、kubernetes访问控制原理 kubernetes API 访问控制步骤:认证、授权、准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kuberne
大白话 k8s UserAccount ServiceAccount RBAC之间的关系
yanchendage的博客
10-28 736
账户类型 User Account(用户账户) Service Account(服务账户) User Account是为人设计的,而Service Account则是为Pod中的进程调用Kubernetes API而设计。 大白话,k8s就是一个会所,User Account就是你能不能进会所的凭证,光进会所没用,Service Account是你能不能获取服务的凭证, 你到底能获取什么服务呢?这就要将Service Accountrbac进行绑定了。会所有很多的角色role,大玩家,超级大玩家,顶.
Kubernetes(十七)RBACuser
wzj_110的博客
11-18 183
RBAC的概念 RBAC是基于角色的访问控制(Role-Based Access Control) 通俗的讲: 1)先定义某个'角色-->role'能做的事情-->'actions'-->'verbs' 2)再将这个角色'授予'某个人-->'授权'-->'授权的动作如何表现' 3)当'人-->user'做这些事情的时候,'校验'他的凭证'token'里面是否'携带了'对应的'角色',如果有对应的角色,则'鉴权成功',允许它做 备注: 更常用的方法是..
10-kubernetes serveraccount RBAC
weixin_30781631的博客
08-19 1127
目录 认证安全 serviceAccountName 和 userAccount serviceaccount 创建 使用admin 的SA 测试 URL访问kubernetes资源 APIserver客户端定义的配置文...
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 1873
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1426
梳理出UserAccount用户账号一条线
kubernetes-12 访问控制ServiceAccountUserAccountRBAC和服务账户的自动化
Ma_JunSSR的博客
08-08 398
1 .kubernetes API 访问控制 访问控制流程如下: 认证、授权和准入控制。 具体流程如下: Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。 通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。
k8s、ServiceAccount权限详解、RBAC 详解(基于角色的访问控制),常用操作指令
mingqing的博客
11-29 4861
文章目录Service Account应用示例RBAC 详解(基于角色的访问控制)创建一个角色(role)---权限实验二常用操作指令 Service Account应用示例 概念图权限关系 我自己的理解就是,Service Account就是pod的权限 1、创建serviceaccount [root@kub-k8s-master ~]# kubectl create serviceaccount mysa serviceaccount/mysa created 2、查看mysa [root@kub
全网最详细的 K8s Service 不能访问排查流程
yanyuan_smartisan的博客
05-21 1668
全网最详细的 K8s Service 不能访问排查流程 https://cloud.tencent.com/developer/article/1697551 2020-09-15阅读3420 对于新安装的 Kubernetes,经常出现的一个问题是 Service 没有正常工作。如果您已经运行了 Deployment 并创建了一个 Service,但是当您尝试访问它时没有得到响应,希望这份文档能帮助您找出问题所在。 先来熟悉下Service工作逻辑: 为了完成本次演练的目的,...
role 给User/Group/ServiceAccount账号示例
06-01
好的,以下是一个 Role 给 User/Group/ServiceAccount 账号的示例: ``` kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: my-namespace name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] ``` 这个 Role 定义了在 my-namespace 命名空间中能够读取(get)、监视(watch)和列出(list) Pod 资源的权限。接下来,可以使用 RoleBinding 将这个 Role 与某个用户、用户组或者服务帐户绑定在一起,从而为它们提供 Pod 读取的权限。 例如,以下是将 Role 绑定给一个名为 "alice" 的用户的 RoleBinding 的示例: ``` kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: pod-reader-binding namespace: my-namespace subjects: - kind: User name: alice apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 这个 RoleBinding 将名为 "pod-reader" 的 Role 与一个名为 "alice" 的用户绑定在一起,从而为该用户提供在 my-namespace 命名空间中读取 Pod 资源的权限。其中 subjects 字段定义了 "alice" 这个用户,而 roleRef 字段引用了名为 "pod-reader" 的 Role。同样,也可以将 Role 绑定给一个用户组或者服务帐户。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贾几人要努力

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值