在Kubernetes集群中RBAC简介

于 2024-03-29 12:49:27 发布
阅读量1k 收藏 13
点赞数 22
文章标签: kubernetes 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tyxjolin/article/details/137141591
版权

在Kubernetes集群中管理微服务和容器的过程中,确保安全性和合适的权限控制至关重要。Kubernetes引入了角色基于访问控制(RBAC)作为确保集群操作安全性的关键部分。本文将深入探讨Kubernetes中的角色(Role)和集群角色(ClusterRole),以及它们如何帮助我们实现精细化的权限控制。


RBAC 简介

在Kubernetes中,RBAC 是一种标准的权限控制机制,允许管理员通过角色来限制特定用户或用户组对集群资源的访问权限。RBAC主要使用四个Kubernetes API资源来定义和实施权限:

Role
ClusterRole
RoleBinding
ClusterRoleBinding

Role 和 ClusterRole


Kubernetes的Role和ClusterRole资源用于定义对Kubernetes资源的权限集。这些权限包括“创建”、“读取”、“更新”、“删除”(通常缩写为CRUD)等操作。


Role: 通常局限于特定命名空间内。当您只需要控制特定命名空间范围内的资源访问时,您会使用Role。

ClusterRole: 用于全集群范围内的资源访问权限。当您需要控制集群级别的资源,如节点,或者跨所有命名空间的非资源路径的访问权限时,您会使用ClusterRole。

角色(Role和ClusterRole)可以授予对资源的不同动作权限,一些常见的动作包括:

get: 读取特定资源的详细信息
list: 列出所有的特定资源
create: 创建新的资源
update: 更新现存的资源
patch: 部分更新资源
delete: 删除资源

RoleBinding 和 ClusterRoleBinding


定义了角色之后,您需要使用RoleBinding或ClusterRoleBinding将这些角色分配给用户、组或服务账户。


RoleBinding: 允许将Role的规则赋给特定的用户、组或服务账户在一个命名空间中。

ClusterRoleBinding: 类似于RoleBinding,它允许将ClusterRole的规则赋予全集群范围内的用户、组或服务账户。

我们可以定义一个RoleBinding将一个Role与一个用户相关联,该用户随后将获得对那个命名空间中资源的访问权限。类似地,ClusterRoleBinding可用于将全局权限赋予用户。

角色的创建和使用

要在Kubernetes中创建和使用角色,通常需要以下步骤:


定义Role或ClusterRole:

您可以使用YAML文件来定义角色的权限。例如,如果您想要创建一个只能读取Pod信息的Role,您可以创建以下YAML文件定义:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

以上定义了一个名为pod-reader的角色,它可以在默认命名空间中获取(get)、观察(watch)并列出(list)Pods。


定义RoleBinding或ClusterRoleBinding:


接下来,使用YAML文件来定义角色绑定。以下是将上面创建的pod-reader角色分配给一个名为example-user的用户的例子:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: example-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

这定义了一个名为read-pods的RoleBinding,将pod-reader角色赋予example-user用户。


应用YAML文件:


使用kubectl工具应用这些YAML文件来创建角色和角色绑定:
kubectl apply -f role-definition.yaml
kubectl apply -f role-binding.yaml

验证权限:


一旦角色和绑定被创建,您可以尝试以那个用户的身份去执行操作,来验证其权限。这可以通过配置kubectl的上下文或使用其他API客户端来完成。


最佳实践和考虑事项
使用Kubernetes角色时,有几点最佳实践和考虑事项:

最小权限原则: 始终为用户和服务账户赋予完成其任务所需要的最小权力集。这有利于安全,避免不必要的风险。
定期审计: 周期性审核RBAC角色和绑定,并确保只有合适的用户和服务账户有正确的权限。
清晰的命名: 为角色和角色绑定使用清晰和描述性的命名,这将帮助在管理多个角色和绑定时保持组织。
Role和ClusterRole的适当使用: 根据需要和访问范围选择使用Role或ClusterRole,并注意不要过度使用ClusterRole以免意外授予过多的全局权限。
避免直接将ClusterRoleBinding赋予用户: 推荐创建特定的ClusterRoles并通过ClusterRoleBinding赋予服务账户,而不是直接将过于强大的ClusterRoles赋予用户。

结论

Kubernetes的角色(Role)和集群角色(ClusterRole)是RBAC的核心组成部分,它们使得集群管理员可以精确控制对资源的访问。遵循最佳实践,如采用最小权限原则和定期审计,就可以有效的保障集群的安全并允许用户和应用高效的执行它们的任务。
理解和合理使用这些工具,将帮助您的团队或组织在云原生领域里更好地管理服务和保障安全。随着Kubernetes的不断发展,不断学习新的特性和最佳实践,您将能够充分利用这个强大的容器编排系统,让您在现代云计算环境中始终保持领先。
 

前端筱悦
关注
  • 22
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Kubernetes学习之RBAC
Micky_Yang的博客
09-17 294
一、访问控制概述   API Server作为Kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,余下所有需要访问集群资源的组件,包括kube-controller-manager、kube-scheduler、kubelet和kube-proxy等集群基础组件、CoreDNS等集群的附加组件以及此前使用的kubelet命令等都要经由网关进行集群访问和管理。这些客户端均要经由API Server访问或改变集群状态并完成数据存储,并由它对每一次的访问请求进行合法性校验,包括用户身份鉴别、操作权
kubernetes系列】KubernetesRBAC
最新发布
margu_168的博客
07-11 1109
k8s的权限控制在实际工作不那么经常使用,但是却是很重要的,我们需要深入理解才能很好的解决某些问题。在我们现目前的了解,常用的授权插件有以下几种: Node(节点认证) ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) Webhook(基于http回调机制的访问控制)kubernetes 集群相关所有的交互都需要通过apiserver来完成,对于这样集式管理的系统来说,权限管理尤其重要,Kubernetes的授权是基于插件形式的,在1.5版的时候引入了基于角色的访问控制(Role-Bas
KubernetesRBAC
weixin_50071922的博客
10-08 235
文章目录前言一、RBAC API 对象二、创建一个只能访问某个namespace的用户二、使用步骤1.引入库2.读入数据总结 前言 RBAC 使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启动RBAC,需要在 apiserver 添加参数 --authorization - mode - RBAC,如果使用 kubeadm 安装的集群,1.6版本以上都默认开启了 RBAC, 可以通过查看Maste
kubernetes RBAC
wuxingge的博客
12-07 229
Object URL /apis/<GROUP>/<VERSION>/namespace/<NAMESPACE_NAME>/<KIND>[/OBJECT_ID]/ 授权插件 Node ABAC RBAC Webhook RBAC Role-based AC 基于角色访问控制 许可 资源级别 集群(cluster) 名称空间(namesp...
Kubernetes RBAC 详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
03-24 2245
原文链接:Kubernetes RBAC 详解 前面两节课我们学习了Kubernetes的两个用于配置信息的重要资源对象:ConfigMap和Secret,其实到这里我们基本上学习的内容已经覆盖到Kubernetes一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前,我们还需要给大家讲解一个重要的概念:RBAC - 基于角色的访问控制。 RBAC使用rba...
rbac-lookup:在Kubernetes集群轻松找到附加到任何用户,服务帐户或组名称的角色和集群角色
02-03
RBAC查找是一个CLI,可让您轻松查找绑定到任何用户,服务帐户或组名称的Kubernetes角色和集群角色。 goreleaser为每个发行版生成二进制文件,以简化安装。 想了解更多? ( ),发送电子邮件至opensource@fairwinds....
Prometheus监控实践:Kubernetes集群监控
01-27
在这个实践,`node_exporter`通过Ansible以二进制形式部署在所有需要监控的服务器上,而Prometheus服务器则通过Ansible独立部署在Kubernetes集群外部,配置文件`prometheus.yml`由Ansible的J2模板生成,用于从各台...
rback:Kubernetes可视化工具RBAC
02-04
无论设置多么复杂, rback都会在恒定时间内查询Kubernetes集群的所有与RBAC有关的信息,并以格式生成服务帐户,(集群)角色以及各个访问规则的图形表示。 例如,这是rback所见的Amazon EKS集群: 另一个示例是...
Kubernetes 集群安全-教程与笔记习题
05-22
Kubernetes集群,安全是至关重要的,因为它保护了应用程序和服务免受未经授权的访问和潜在攻击。本教程将深入探讨Kubernetes集群的安全性,特别是关注授权机制,这是确保只有授权的实体才能执行特定操作的关键...
如何使用KubeSpray在Azure上构建Kubernetes集群
04-08
在IT行业Kubernetes(K8s)已成为容器编排的事实标准,而Azure作为云服务提供商,提供了丰富的工具和服务来支持Kubernetes集群的部署。KubeSpray是其一个开源项目,它简化了在多种云环境,包括Azure上,快速...
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
weixin_34221073的博客
11-24 142
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群kubernetes1.8.2安装包 | kubernetes1.9.2安装包好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespace下的pod 命令行kubectl访问 安装cfssl 此...
kubernetes(k8s)之rbac权限管理详解
qq_44823950的博客
08-14 2148
kubernetes(k8s)之rabc权限
Kubernetes(k8s)权限管理RBAC详解
匠人精神,持之以恒!
10-16 8143
文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制(以ServiceAccount展开讲解)1)介绍2)Role和ClusterRole3)RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1)User1、创建K8S 用户2、对用户授权2)Group1、创建K8S 用户和用户组2、对组授权3)ServiceAccount4)为ServiceAccount生成Tok
Kubernetes生产实践系列之一:Kubernetes基于RBAC的访问权限控制
cloudvtech的博客
05-01 1705
一、前言 Kubernetes通过namespace和serviceaccount进行粗粒度的资源和访问控制,通过role和rolebinding进行细粒度的控制。
Kubernetes K8S之鉴权RBAC详解
weixin_45032957的博客
12-16 747
RBAC API类型 RBAC API 所声明的四种顶级类型【Role、ClusterRole、RoleBinding 和 ClusterRoleBinding】。用户可以像与其他 API 资源交互一样,(通过 kubectl API 调用等方式)与这些资源交互。 Role 和 ClusterRole 在 RBAC API ,一个角色包含一组相关权限的规则。权限是纯粹累加的(不存在拒绝某操作的规则),即只能给权限累加,不存在给了XX权限,然后去掉XX01权限的情况。角色可以用 Role 来定义到某个命名空
kubernetes RBAC授权配置
zorsea的博客
03-22 476
一、RBAC授权流程图: 角色分类有两种: Role:普通角色,可以应用于某一个命名空间,使用的是RoleBinding与User、Group、serviceaccount进行角色绑定 ClusterRole:集群角色,应用于整个集群,所有命名空间,使用的是ClusterRoleBinding与User、Group、serviceaccount进行集群角色绑定 主体: User:根据ssl...
kubernetes源码分析之RBAC
柳清风的专栏
05-05 2100
在介绍源码之前还是解释一下这个RBAC吧,RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型,用户与角色之间,角色与权限之间,一般者是多对多的关系。 在kubernetes1.6以后正式引入RBAC这个东西,其实这个
KubernetesRBAC授权控制
weixin_43297299的博客
05-26 641
01、前言 众所周知,kubernetes API是kubernetes的核心组件,kubernetes API以REST接口的形式将Pods、Service、Deployment等信息定义为资源,而这些资源我们又是怎样操作它们的呢?在kubernetes 1.6之后社区逐渐使用RBAC的认证模式,下面将会详细介绍这种认证模式。 02、kubernetes的认证机制   1)如何访问kubernetes API 使用者可以通过kubectl客户端、各个代码语言的客户端库程序或者通过发送REST请求来
如何设置Kubernetes集群的APIserver
05-17
Kubernetes集群,API Server是控制平面最重要的组件之一,它是所有组件的入口点,用于管理整个集群。API Server对外提供RESTful API接口,供客户端和其他组件访问和操作集群的资源。因此,正确地配置API ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

前端筱悦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值