RBAC授权

最新推荐文章于 2024-06-06 10:13:57 发布
最新推荐文章于 2024-06-06 10:13:57 发布
阅读量154 收藏
点赞数
原文链接:http://www.cnblogs.com/effortsing/p/10357276.html
版权 
给用户授予RBAC权限

没有权限会报如下错误:

执行查看资源报错: unable to upgrade connection: Forbidden (user=kubernetes, verb=create, resource=nodes, subresource=proxy)

[root@test4 ~]# kubectl exec -it http-test-dm2-6dbd76c7dd-cv9qf sh
error: unable to upgrade connection: Forbidden (user=kubernetes, verb=create, resource=nodes, subresource=proxy)

解决:创建apiserver到kubelet的权限,就是没有给kubernetes用户rbac授权,授权即可,进行如下操作:

注意:user=kubernetes ,这个user要替换掉下面yaml文件里面的用户名

cat > apiserver-to-kubelet.yaml <<EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: system:kubernetes-to-kubelet
rules:
  - apiGroups:
      - ""
    resources:
      - nodes/proxy
      - nodes/stats
      - nodes/log
      - nodes/spec
      - nodes/metrics
    verbs:
      - "*"
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: system:kubernetes
  namespace: ""
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:kubernetes-to-kubelet
subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: kubernetes
EOF


创建授权:

kubectl create -f apiserver-to-kubelet.yaml 

[root@test4 ~]# kubectl create -f apiserver-to-kubelet.yaml 
clusterrole.rbac.authorization.k8s.io/system:kubernetes-to-kubelet created
clusterrolebinding.rbac.authorization.k8s.io/system:kubernetes created

重新进到容器查看资源

[root@test4 ~]# kubectl exec -it http-test-dm2-6dbd76c7dd-cv9qf sh
/ # exit

现在可以进到容器里面查看资源了

参照文档:https://www.jianshu.com/p/b3d8e8b8fd7e

 

转载于:https://www.cnblogs.com/effortsing/p/10357276.html

weixin_30312659
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RBAC角色授权
每天都要开心呀(#^.^#)
05-15 387
Kubernetes中基于角色(Role)的访问控制(RBAC)详解
RBAC授权模式操作
qq_46654855的博客
07-22 339
或者让主账号给子账号在CAM拥有AcquireClusterAdminRoleAction权限之后可以通过此方式获取集群KubernetesRBAC的tkeadmin角色。,联系集群管理员(一般集群创建者和主账号都是默认集群admin角色)通过登录容器控制台,点击对应集群,在授权管理处为子账号添加对应集群权限。1,目前新集群默认开启了RBAC授权模式,便于对子账号进行细粒度的访问权限控制。如下步骤集群>授权管理>RBAC策略生成器>下一步。CAM,新建策略>按策略生成器创建。......
用户授权RBAC
Relievedz的博客
03-20 437
优点:系统设计时定义好查询工资的权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改授权代码,系统可扩展性强。主体.hasRole("总经理角色id") || 主体.hasRole("部门经理角色id")){根据上边的例子发现,当需要修改角色的权限时就需要修改授权的相关代码,系统可扩展性差。基于角色的访问控制(Role-Based Access Control)主体.hasPermission("查询工资权限标识")){主体.hasRole("总经理角色id")){
【云原生】Kubernetes----RBAC用户资源权限
最新发布
hy199707的博客
06-06 1235
随着云计算和容器技术的蓬勃发展,Kubernetes(K8s)作为容器编排的领头羊,其安全性成为了众多企业和开发者关注的焦点。本文将详细解析Kubernetes的安全机制,包括认证、鉴权和准入控制,以确保集群的稳定性和数据的安全。
RBAC 授权(前世今生)
weixin_44772835的博客
01-05 201
RBAC 授权(前世今生)
Kubernetes之RBAC授权控制
weixin_43297299的博客
05-26 658
01、前言 众所周知,kubernetes API是kubernetes的核心组件,kubernetes API以REST接口的形式将Pods、Service、Deployment等信息定义为资源,而这些资源我们又是怎样操作它们的呢?在kubernetes 1.6之后社区逐渐使用RBAC的认证模式,下面将会详细介绍这种认证模式。 02、kubernetes的认证机制   1)如何访问kubernetes API 使用者可以通过kubectl客户端、各个代码语言的客户端库程序或者通过发送REST请求来
【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
一种基于可信度和属性的 RBAC授权模型 (2011年)
04-28
针对传统 RBAC模型中存在用户角色指派的模糊性、用户授权认证决策的单一性及角色数量与管理的 冲突等问题,提出一种结合属性与可信度的改进型 RBAC授权模型―――TA-R BAC模型。该模型通过增加对用 户及所在平台的...
PKI和RBAC授权数字证书的设计与实现 (2008年)
05-26
设计并实现了授权证书(CA),扩展了数字证书的功能,利用ASN.1语法构造和编码证书授权扩展项,用RBAC中的访问控制信息为证书主体授权以实现证书对资源的访问控制。论述了该方式的优越性。该数字证书避免了传统方式的...
【Kubernetes运维篇】RBAC认证授权详解(一)
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
kubernetes RBAC 入门
爱死亡机器人
12-07 947
文章目录1. 简介2. API 对象2.1 角色(Role)2.2 集群角色(ClusterRole)2.3 角色绑定(RoleBinding)和集群角色绑定(ClusterRoleBinding)3. 对资源的引用4. 聚合的 ClusterRole5. Role 示例6. 对主体的引用7. RoleBinding 示例8. 默认 Roles 和 Role Bindings9. 面向用户的角色10. 核心组件角色11. 其他组件角色12. 内置控制器的角色13. 对角色绑定创建或更新的限制14. 命令行工
K8s提权之RBAC权限滥用
weixin_40418457的博客
06-21 799
本文首发于火线Zone:https://zone.huoxian.cn/?sort=newest 作者:今天R了吗 在K8s中RBAC是常用的授权模式,如果在配置RBAC时分配了“过大”资源对象访问权限可导致权限滥用来提权,以至于攻击者扩大战果,渗透集群。 如下是一些RBAC相关的笔记。 k8s的RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用R
kubernetes1.16 错误排查
运维Carl的博客
12-08 1万+
目录一.环境说明1.使用kubectl get node命令,查看集群的状态。2.到node节点查看组件的状态3.于是我查看master节点的apiserver日志4.查看etcd集群的健康状态,并检查192.168.1.123节点上的etcd服务是否正常;5.问题猜测,并尝试解决6.再次查看K8S节点,已恢复正常,并查看etcd集群健康状态,已正常; 一.环境说明 一.环境说明 操作系统:cen...
二进制高可用安装报错解决
weixin_30821731的博客
02-09 1491
1、高可用脚本安装完etcd后启动失败 解决:所有节点重启即可解决。这样的情况遇到了三次,就是因为电脑太卡了,当时cpu利用率很高,达到了94%。脚本是正确的,跟脚本没有关系 所以最好分开安装,先安装etcd集群,然后重启所有节点,再安装k8s部分, 2、kube-apiserver报错: Failed to list *core.Secret: unable to t...
k8s查看pod日志报错 Error from server (Forbidden)
Jerry00713的博客
07-19 5573
这个错误是说kube-apiserver这个用户没有权限查看日志,我们要给这个用户一个admin的角色权限就好了。查看pod日志时,报权限错误。二进制搭建的k8s集群。
【kubernetes/k8s概念】k8s 坑问题汇总
weixin_39833509的博客
08-21 1725
1. Pod始终处于Pending状态 如果Pod保持在Pending的状态,意味着无法被正常的调度到节点上。由于某种系统资源无法满足Pod运行的需求 系统没有足够的资源:已经用尽了集群中所有的CPU或内存资源。需要清理一些不在需要的Pod,调整它们所需的资源量,或者向集群中增加新的节点。 用户指定了hostPort:通过hostPort用户能够将服务暴露到指定的主机端口上,会限制Pod能够被调度运行的节点。 2. Pod始终处于Waiting状态 Pod处在Waiting的...
RBAC——基于角色权限的模型
热门推荐
林隐的博客
10-21 3万+
学习RBAC——基于角色权限的模型
PartialMAX-SAT求解法在RBAC授权查询中的应用
孙伟、李艳灵和鲁骏三位作者提出了将Partial MAX-SAT技术应用于RBAC授权查询的新方法。他们首先定义了RBAC模型中的授权逻辑,包括角色分配、权限分配以及角色间的互斥关系。接着,他们设计了一套转换规则,将这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值