k8s-----26、细粒度权限管理 RBAC

已于 2024-01-15 20:24:29 修改
阅读量525 收藏
点赞数
分类专栏: k8s新学习目录 文章标签: kubernetes 云原生
于 2023-10-26 17:31:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwerty1372431588/article/details/134038188
版权
本文详细介绍了Kubernetes中的RBAC(基于角色的访问控制),包括Role、ClusterRole、RoleBinding和ClusterRoleBinding的概念及区别,以及如何通过示例操作进行权限配置。此外,还讨论了RBAC的聚合ClusterRole和实际应用。
摘要由CSDN通过智能技术生成

0、导读

每一个用户对API资源进行操作都需要通经过以下三个步骤:

  • 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限(也就是通过serviceaccount)
    token(共享秘钥)
    SSL(双向SSL认证)
    …通过任何一个认证即表示认证通过,进入下一步
  • 第二步:授权检查,确认是否对资源具有相关的权限
    ABAC(基于属性的访问控制)
    RBAC(基于角色的访问控制)
    NODE(基于节点的访问控制)
    WEB HOOK(自定义HTTP回调方法的访问控制)
  • 第三步:准入控制(对操作资源相关联的其他资源是否有权限操作)

1、基本概念

  • RBAC(Role-Based Access Control,基于角色的访问控制)是一种基于企业内个人用户的角色来管理对计算机或网络资源的访问方法,其在Kubernetes 1.5版本中引入,在1.6时升级为Beta版本,并成为Kubeadm安装方式下的默认选项。启用RBAC需要在启动APIServer时指定–authorization-mode=RBAC。

  • RBAC使用rbac.authorization.k8s.io API组来推动授权决策,允许管理员通过Kubernetes API动态配置策略。

    </
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Studying!!!
关注
专栏目录
订阅专栏
CC00218.CloudKubernetes——|KuberNetes&细粒度权限控制.V02|——|RBAC.v02|role&ClusterRole|
yanqi_vip
03-31 74
一、rbac在安装k8s的时候就已经启用了 ### --- rbac在安装的时候就已经启用它了 ~~~ RBAC是可以接入第三方的。 [root@k8s-master01 ~]# more /usr/lib/systemd/system/kube-apiserver.service [Service] ExecStart=/usr/local/bin/kube-a...
K8S用户权限管理工具permission-manager-v1.6.0
12-13
2. **细粒度权限**:工具支持创建自定义的角色和权限,可以精确地指定用户或组可以执行的操作,如读取、写入、创建、删除等。 3. **动态更新**:在权限需求变化时,permission-manager能快速地更新Role和...
第12章 K8s进阶篇-细粒度权限控制
dluhehe的博客
12-17 464
K8s进阶篇-细粒度权限控制,包括:RBACRBAC企业实战等内容。帮助大家更好做好权限管理
粒度细粒度权限
q540494685的博客
08-01 1867
粒度细粒度权限控制: 粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。 粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。 部门管理员可以访问用户信息页面包括 页面中所有按钮。 细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接,1110班的用户信息、...
《玩转细粒度权限管理》 三,用户角色权限RBCA
开源权限管理中间件Ralasafe
06-18 470
  第三章 用户角色权限RBCA     第一章介绍了专业细粒度权限管理软件 Metadmin 的安装。第二章讲解了对于 WEB 页面的控制。哪些页面需要登录才能访问,哪些页面不需要登录就能访问。需要登录的页面,又如何页面访问权限呢?即具有什么样角色的人才能访问。   本章详细讲解用户角色权限关系。这也就是...
细粒度权限控制(一)RBAC表设计
小郎人的博客
05-22 9292
细粒度权限控制(一)RBAC表设计        1、每个项目大概都会有个对应的后台管理系统,应对自己的项目运行过程中的出现的一些非理想性事件。        2、权限可能会跟用户的等级或者说标识有关,比如扣扣的VIP,会涉及到部分权限控制。        3、博主本篇的目的是:                告诉读者怎么设计RBAC的表。        4、设计如图(4-1):(mysql实现...
Kubernetesk8s权限管理RBAC详解
匠人精神,持之以恒!
10-16 8333
文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制(以ServiceAccount展开讲解)1)介绍2)Role和ClusterRole3)RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1)User1、创建K8S 用户2、对用户授权2)Group1、创建K8S 用户和用户组2、对组授权3)ServiceAccount4)为ServiceAccount生成Tok
k8s--普通k8s集群---使用rolebinding限制或增加访问命名空间以及可执行操作权限
热门推荐
直到世界的尽头
11-13 1万+
权限控制原理 RBAC——基于角色的访问控制 基于角色的访问控制(Role-Based Access Control, 即”RBAC”) k8s使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。 也就是说 每个k8s用户调用k8s的api时,都会经过一层角色的权限校验,比如 我当前的用户或者 服务账户(serviceaccount)关联的是哪一个角色,就拥有这一个角色的访问权限。 基于这样的原理,k8s可以很灵
Kubernetesk8s权限管理RBAC
驰兔的博客
03-13 1022
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
k8s-1.15.1-搭建和操作-集群搭完后管理操作-kubernetes安装包和文档笔记
05-27
7. **安全与网络策略**:使用RBAC(Role-Based Access Control)进行权限管理,利用Network Policy实现细粒度的网络隔离。 通过学习和实践,运维人员可以熟练掌握Kubernetes 1.15.1的安装和管理,为企业的微服务...
k8s-security-demos:几个kubernetes安全功能的演示
02-04
3. **Network Policies**: Kubernetes的网络策略允许对Pod间的网络通信进行细粒度控制,实现安全隔离。你可以定义规则,只允许特定的流量进出特定的Pod,以此来防止未授权的通信。 4. **Security Context**: ...
CKA认证 | Day1 k8s核心概念与集群搭建
小安的运维专栏
11-08 912
Kubernetes简称K8sKubernetes用于容器化应用程序的部署,扩展和管理,目标是让部署容器化应用简单高效。
K8S之Prometheus 部署(二十)
赵玉的专栏
11-10 1075
部署方式:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/prometheus源码目录:kubernetes/cluster/addons/prometheus服务发现:https://prometheus.io/docs/prometheus/latest/configuration/configuration/#kubernetes_sd_config。
k8clone二进制工具迁移k8s中的无状态应用
最新发布
nangonghen的博客
11-12 268
k8clone备份恢复k8s集群中的无状态应用
【模块一】kubernetes容器编排进阶实战之k8s基础概念
运维&陈同学的博客
11-08 857
简介 Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。kube-apiserver [flags] 选项 --admission-control-config-file string 包含准入控制配置的文件。
K8S系列 】在K8S集群怎么查看各个pod占用的资源大小与详细解决方案【已解决】
颜淡慕潇
11-11 3777
要查看 Kubernetes 集群中各个 Pod 占用的资源大小(包括 CPU 和内存),可以使用多种方法。以下是详细的步骤介绍每种方案。
K8S系列】K8S 集群 CPU 爆满导致 Pod Pending 状态的分析与解决方案
颜淡慕潇
11-08 1268
Kubernetes 集群中,CPU 突然爆满可能导致 Pod 状态变为 Pending,影响应用的可用性。本文将深入分析其原因,并附上相关命令及其执行结果,帮助你更好地理解和解决此问题。
借助 Pause 容器调试 Pod
11-12 178
K8S 中,Pod 是最核心、最基础的资源对象,也是 Kubernetes 中调度最小单元。在介绍 Pause 容器之前需要先说明下 Pod 与容器的关系来理解为什么需要 Pause 容器来帮助调试。
解答疑问,为什么在本地明明拉取了镜像,但是k8s-pod依旧ImagePullBackOff
博然的宝藏库
11-12 136
nerdctl 默认的namespace为default.可以通过env传递给nerdctl来切换ns.3、Kubernetes默认工作的namespace为k8s.io。4、而部分工具运行的ns 为default.比如nerdctl。ctr 和nerdctl可以管理ori 的 namespace.1、被namespace隔离了。2、没错,ORI也有隔离性。crictl则不行默认就是k8s.io。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Studying!!!

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值