Kubernetes角色访问控制RBAC和权限规则(Role+ClusterRole)---好文

最新推荐文章于 2023-02-24 15:00:38 发布
最新推荐文章于 2023-02-24 15:00:38 发布
阅读量634 收藏 1
点赞数
分类专栏: K8S kubernetes 文章标签: kubernetes 容器 云原生
原文链接:https://blog.csdn.net/BigData_Mining/article/details/88849696
版权
K8S 同时被 2 个专栏收录
104 篇文章 130 订阅
订阅专栏
kubernetes
32 篇文章 6 订阅
订阅专栏

基于角色的访问控制(Role-Based Access Control, 即”RBAC”)使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源:

Pods
PV
ConfigMaps
Deployments
Nodes
Secrets
Namespaces

资源与api group关联(如pods属于core api group,deployments属于apps api group)。

在RBAC中的几个概念:

Rules:规定一组可以在不同api group上的资源执行的规则(verbs)
Role与ClusterRoles:都是包括一组规则(rules)两者不同在于,Role针对的是一个namespace中,ClusterRoles针
对整个集群
Subject:有三种Subjects,Service Account、User Account、Groups,参照官方文档主要区别是User Account针对
人,Service Accounts针对运行在Pods中运行的进程。
RoleBindings与ClusterRoleBindins:将Subject绑定到Role或ClusterRoles。其区别在于:RoleBinding将使规则在命
名空间内生效,而ClusterRoleBinding将使规则在所有命名空间中生效。

RBAC API所定义的四种类型

Role与ClusterRole

在RBAC API中,一个角色定义了一组特定权限的规则。namespace范围内的角色由Role对象定义,
而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。

Role

Role对象只能用于授予对某一namespace中资源的访问权限。
以下示例表示在“default” namespace中定义一个Role对象,用于授予对资源pods的读访问权限,绑定到该Role的用户则具有get/watch/list pod资源的权限:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # 空字符串""表明使用core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

group 空字符串""表明使用core API group

为了更容易对API进行扩展,Kubemetes 使用API Groups (API组)进行标识。APIGroups 以及REST URL中的路径进行定义。当前支持两类API groups。

Core Groups (核心组),也可以称为Legacy Groups,该组的REST路径位于/api/v1, 作为 Kubernetes 最核心的 API,
它是没有“组”的概念,例如 ”v1“,在资源对象的定义中表示为”apiVersion: v1“。

 具有分组信息的API,以/apis/$GROUP_NAME/$VERSIONURL路径进行标识,在资源对象的定义中表示为
 apiVersion: $GROUP_NAME/$VERSION(例如,apiVersion: batch/v1)。已支持的 API 组详细列表请参阅
Kubernetes API reference。

ClusterRole

ClusterRole对象可以授予整个集群范围内资源访问权限, 也可以对以下几种资源的授予访问权限:

  • 集群范围资源(例如节点,即node)
  • 非资源类型endpoint(例如”/healthz”)
  • 跨所有namespaces的范围资源(例如pod,需要运行命令kubectl get pods --all-namespaces来查询集群中所有的pod)

以下示例中定义了一个名为pods-reader的ClusterRole,绑定到该ClusterRole的用户或对象具有用对集群中的资源pods的读访问权限:

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
 # 鉴于ClusterRole是集群范围对象,所以这里不需要定义"namespace"字段
 name: pods-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

RoleBinding与ClusterRoleBinding

角色绑定将一个角色中定义的各种权限授予一个或者一组用户,则该用户或用户组则具有对应绑定的Role或ClusterRole定义的权限。
角色绑定包含了一组相关主体(即subject, 包括用户——User、用户组——Group、或者服务账户——Service Account)以及对被授予角色的引用。 在某一namespace中可以通过RoleBinding对象授予权限,而集群范围的权限授予则通过ClusterRoleBinding对象完成。

  • RoleBinding
    RoleBinding可以将同一namespace中的subject(用户)绑定到某个具有特定权限的Role下,则此subject即具有该Role定义的权限。
    下面示例中定义的RoleBinding对象在”default” namespace中将”pod-reader”角色授予用户”Caden”。 这一授权将允许用户”Caden”从”default” namespace中读取pod。
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: Caden
 apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
  • ClusterRoleBinding
    ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject与ClusterRole绑定,授予权限。
    下面示例中所定义的ClusterRoleBinding 允许在用户组”pods-reader”中的任何用户都可以读取集群中任何namespace中的pods。
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
 name: read-pods-global
subjects:
- kind: Group
 name: pods-reader
 apiGroup: rbac.authorization.k8s.io
roleRef:
 kind: ClusterRole
 name: pods-reader
 apiGroup: rbac.authorization.k8s.io

此外,RoleBinding对象也可以引用一个ClusterRole对象用于在RoleBinding所在的namespace内授予用户对所引用的ClusterRole中 定义的namespace资源的访问权限。这一点允许管理员在整个集群范围内首先定义一组通用的角色,然后再在不同的名字空间中复用这些角色。
例如,尽管下面示例中的RoleBinding引用的是一个ClusterRole对象,但是用serviceaccount ”reader-dev”(即角色绑定主体)还是只能读取”development” namespace中的pods(即RoleBinding所在的namespace)。

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-pods
  namespace: development # 这里表明仅授权读取"development" namespace中的资源,若不定义该字段,则表示整个集群的Pod资源都可访问
subjects:
- kind: ServiceAccount
  name: reader-dev
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: pod-reader
  namespace: kube-system

相关命令行工具

获取并查看Role/ClusterRole/RoleBinding/ClusterRoleBinding的信息

kubectl get role -n kube-system

查看kube-system namespace下的所有role

kubectl get role <role-name> -n kube-system -o yaml

查看某个role定义的资源权限

kubectl get rolebinding -n kube-system

查看kube-system namespace下所有的rolebinding

kubectl get rolebinding <rolebind-name> -n kube-system -o yaml

查看kube-system namespace下的某个rolebinding详细信息(绑定的Role和subject)

kubectl get clusterrole

查看集群所有的clusterrole

kubectl get clusterrole <clusterrole-name> -o yaml

查看某个clusterrole定义的资源权限详细信息

kubectl get clusterrolebinding

查看所有的clusterrolebinding

kubectl get clusterrolebinding <clusterrolebinding-name> -o yaml

查看某一clusterrolebinding的详细信息

有两个kubectl命令可以用于在命名空间内或者整个集群内授予角色。

kubectl create rolebinding

在某一特定名字空间内授予Role或者ClusterRole。示例如下:
a) 在名为”acme”的名字空间中将admin ClusterRole授予用户”bob”:

kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme

b) 在名为”acme”的名字空间中将view ClusterRole授予服务账户”myapp”:

kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme
kubectl create clusterrolebinding

在整个集群中授予ClusterRole,包括所有名字空间。示例如下:
a) 在整个集群范围内将cluster-admin ClusterRole授予用户”root”:

kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root

b) 在整个集群范围内将system:node ClusterRole授予用户”kubelet”:

kubectl create clusterrolebinding kubelet-node-binding --clusterrole=system:node --user=kubelet

c) 在整个集群范围内将view ClusterRole授予名字空间”acme”内的服务账户”myapp”:

kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp

转载至https://blog.csdn.net/BigData_Mining/article/details/88849696

victoruu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
访问管理器:Kubernetes-Operator简化RBAC配置
02-07
访问管理器 Access-Manager是Kubernetes-Operator,使用来简化集群中的复杂配置并在名称空间之间传播秘密。 动机 在基于名称空间的基础上管理许多不同的RBAC-Roles时,出现了这个想法。 随着时间的推移,这变得越来越复杂,管理员始终必须确保将正确的角色应用于多个名称空间中的不同人员或ServiceAccounts。 操作员的范围仅限于RoleBinding和ClusterRoleBinding的创建和删除。 因此,所有引用的RoleClusterRole都必须存在。 让它自动化。 Kubernetes兼容性 该图像包含k8s.io/client-go版本。 Kubernetes旨在在客户端和服务器之间提供一个次要版本的向前和向后兼容性: 访问管理器 k8s.io/client-go k8s.io/apimachinery 预期的kubernetes
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 2730
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
使用kubectl访问Kubernetes集群时的身份验证和授权
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
11-11 9632
kubectl是日常访问和管理Kubernetes集群最为常用的工具。 当我们使用kubeadm成功引导启动(init)一个Kubernetes集群的控制平面后,kubeadm会在init的输出结果中给予我们下面这样的“指示”: `... ... Your Kubernetes master has initialized successfully! To start using your cl...
kuberneteskubectl命令详解
qq_37452571的博客
01-16 3892
一、kubernetes kubectl get 命令详解 kubectl get 获取列出一个或多个资源的信息。 可以使用的资源包括: kubectl get all 列出所有不同的资源对象 kubectl get certificatesigningrequests (aka 'csr') 列出所有csr请求 kubectl get clusterrolebindings ...
k8s进阶篇-准入控制及细粒度权限控制
qq_35302220的博客
12-06 247
k8s进阶篇-准入控制及细粒度权限控制
k8s访问控制
LY_CS的博客
04-13 959
访问k8s的API Server的客户端主要分为两类: kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。 pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccou...
rbac-tool:Kubernetes RBAC Power Toys - 可视化、生成和查询
05-30
基于角色访问控制 (RBAC) 是一种根据组织内单个用户的角色来调节对计算机或网络资源的访问的方法。 RBAC 授权使用rbac.authorization.k8s.io API 组来驱动授权决策,允许您通过 Kubernetes API 动态配置策略。 ...
rbac-manager:一个Kubernetes运算符,可简化角色绑定和服务帐户的管理
02-03
使用RBAC,需要创建2个角色绑定,第一个授予对web名称空间的edit访问权限。 请注意使用golang大写字母,而不是在某些地方使用Kubernetes命名为roleBinding和clusterRole 。 kind : RoleBinding apiVersion : rb
e-admin-vue:一个使用 vue + element-ui + vue-cli3 构建的 rbac 权限模型
07-24
一个使用 vue + element-ui + vue-cli3 构建的 rbac 权限模型 账号: admin 密码: 123456 运行项目 npm run serve 构建项目 # 默认打包路由为 history 模式 npm run build:test npm run build:prod # 打包路由为 hash...
kubectl-rolesum:总结指定主题的Kubernetes RBAC角色
02-03
总结指定主题(ServiceAccount,用户和组)的RBAC角色。 安装 krew 是k8s插件的软件包管理器。 请参阅以获取更多详细信息。 kubectl krew install rolesum 自制软件(适用于MacOS) Roleum支持 :beer_mug: brew...
Kubernetes RBAC 内置集群角色ClusterRole
小楼一夜听春雨,深巷明朝卖杏花
08-05 3219
k8s 内置的集群角色 system k8s为了让用户使用某些特定的权限,给大家预留了四个集群角色,这个是可以是直接使用的。 以system开头的都是k8s内置的,不要随便删除,删除了可能导致集群功能不正常 [root@k8s-master ~]# kubectl get clusterrole NAME CREATED AT system:aggregate-to-.
看一眼就会的k8s权限管理手把手教学
记忆的博客
11-18 3053
Role #角色,基于名称空间下的资源RoleBinding #角色绑定,基于名称空间下的资源ClusterRole #集群角色,基于集群级别下的资源ClusterRoleBinding #集群角色绑定,基于集群级别下的资源其中,Role和Role是针对于名称空间级别,授予其所在名称空间范围内的许可权限。而ClusterRoleClusterRoleBinding是针对于集群级别,授予其所在集群范围内的许可权限
Kubernetes 中, 使用 RBAC 授权
k4nz
04-21 366
永久地址:在 Kubernetes 中, 使用 RBAC 授权(保存网址不迷路 ????) 问题描述 该笔记将记录:在 Kubernetes Cluster 中,如何使用 RBAC 及 ServiceAccount 进行权限管理,以及常见问题处理。 解决方案 场景一、限制 kubectl 命令 当集群部署完成之后,使用 kubectl 命令能够控制整个集群,这是因为 ~/.kube/config 的凭证权限足够高。我们不能直接分发该凭证,应该创建新的碰正限制访问权限。 第一步、检查 RBA
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2276
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
k8s安全 认证 鉴权 准入控制之二:授权(Authorization)
热门推荐
张成基
07-06 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) 授权(Authorization) ·上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权 限。API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “–authorization-mode” 设置) 默认使用RBAC AlwaysDeny:表示拒绝所有的请
Kubernetes - 使用RBAC授权
好记性不如烂笔头
05-03 3601
https://kubernetes.io/docs/admin/authorization/rbac/ Role and ClusterRole 一个角色包括多种权限规则权限是纯粹的加法(没有“否定”规则)。一个角色可以在一个命名空间中定义为一个Role,或者在集群中定义为ClusterRole。 一个在默认namespace中赋予pods读权限的例子: kind
记录flannel启动报错 no matches for kind “ClusterRole“ in version“rbac.authorization.k8s.io/v1beta1“
weixin_66997758的博客
01-05 2517
记录flannel启动报错的处理方法
Kubernetes 集群安全- Authorization鉴权,RBAC授权方法,RBAC实例
北海牧野
06-24 2001
个人学习记录Kubernetes 集群安全 - 机制说明Authorization 鉴权RBAC 授权模式RBAC 的 API 资源对象说明一、Verbs 动作二、apiGroups API接口组三、JOSN 证书Role and ClusterRole一、Role二、ClusterRoleRoleBinding and ClusterRoleBinding一、Role - RoleBinding二、ClusterRole - RoleBinding三、ClusterRole - ClusterRoleB
(八)k8s安全
卷心菜投手
01-14 957
k8s安全
k8s里RBAC和ServiceAccount Clusterrolebinding Clusterrole有什么区别
最新发布
07-17
RBAC(Role-Based Access Control)、ServiceAccount、ClusterRoleBinding和ClusterRoleKubernetes的几个重要概念,它们之间有以下区别: 1. RBAC(Role-Based Access Control):RBACKubernetes中的一种访问控制机制,用于定义和管理用户、ServiceAccount或其他身份对Kubernetes资源的访问权限RBAC通过角色(Role)和绑定(Binding)的方式实现权限控制。 2. ServiceAccount:ServiceAccount是Kubernetes中用于身份验证和授权的一种特殊类型的账户。每个Pod都会自动关联一个ServiceAccount,它用于标识Pod内运行的应用程序或容器。ServiceAccount可以用于与Kubernetes API进行交互,并通过ClusterRoleBinding与ClusterRole进行绑定来获取特定的权限。 3. ClusterRoleBinding:ClusterRoleBinding用于将ClusterRole与用户、ServiceAccount或其他身份进行绑定,从而赋予它们集群级别的权限ClusterRoleBinding在整个集群范围内生效,可以授予身份对集群级别资源的访问权限。 4. ClusterRoleClusterRoleKubernetes中定义权限规则的一种资源对象,用于授予对集群级别资源的操作权限ClusterRole定义了一组权限规则,可以被绑定到用户、ServiceAccount或其他身份上,通过ClusterRoleBinding赋予它们相应的权限。 总结来说,RBACKubernetes中的访问控制机制,ServiceAccount是用于身份验证和授权的账户,ClusterRoleBinding用于将ClusterRole与身份进行绑定,赋予集群级别的权限,而ClusterRole是定义权限规则的资源对象。它们共同工作,用于实现对Kubernetes资源的访问控制权限管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值