kubernetes之RBAC

最新推荐文章于 2022-10-08 00:45:00 发布
最新推荐文章于 2022-10-08 00:45:00 发布
阅读量143 收藏
点赞数
原文链接:http://www.cnblogs.com/lovelinux199075/p/11265086.html
版权

kubernetes集群提供了3种级别的客户端身份认证方式

1. https证书认证: 基于CA根证书签名的双向数字证书认证方式
2. http token认证 : 通过一个token来识别合法用户
3. http base认证 : 通过用户名+ 密码的方式认证

api server授权管理

授权: 授予用户不同的访问权限,决定一个api调用是否合法, api server目前支持以下几种授权策略(通过api server启动参数--authorization-mode): ABAC,RBAC, Webhook

RBAC授权模式详解

1)1.5 版本开始引入, 1.6升级为beta版本, 1.8为GA版本
2)4种资源对象: Role, ClusterRole, RoleBinding , ClusterRoleBinding

RBAC资源对象

1)Role角色: 一个角色就是一组权限的集合, 这里的权限都是许可形式, 不存在拒绝规则, 一个Role角色属于一个命名空间,作用范围是一个命名空间, 角色只能对命名空间内的资源进行授权

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]    
#apiGroups: 支持的API组列表
#resources: 支持的资源对象列表, 例如pods, deployments,job 
#verbs: 对资源列表的操作方法列表, 例如get, watch, list, delete等

2)ClusterRole集群角色: 权限等同于Role, 与Role区别在于作用范围是所有的命名空间, 同时还可以对特殊元素的授权, 例如Node,

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

3)角色绑定(RoleBinding)和集群角色绑定(ClusterRoleBinding)

功能: 角色绑定(RoleBinding)和集群角色绑定(ClusterRoleBinding)用来把一个Role或ClusterRole绑定到一个目标上, 目标可以是User用户丶Group组丶ServiceAccount, 
RoleBinding作用于一个命名空间, ClusterRoleBinding作用于所有命名空间

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io


kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-secrets-global
subjects:
- kind: Group
  name: manager
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-secrets
  namespace: development
subjects:
- kind: User
  name: dave
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

#注意: secret-reader是一个集群角色, 但是因为使用了RoleBinding,所以dave只能读取deployment命名空间中的secret

使用kubectl为ServiceAccount授权管理

1.为my-namespace的指定serviceaccount授予clusterole中的view权限
kubectl create rolebinding my-sa-view --clusterrole=view --serviceaccount=my-namespace:my-sa --namespace=my-namespace 

2. 为my-namespace命名空间的中的默认serviceaccount授权clusterrole的view权限
kubectl create rolebinding default-view --clusterrole=view --serviceaccount=my-namespace:default --namespace=my-namespace

3. 为my-namespace命名空间中的所有serviceaccount授权clusterrole的view权限
kubectl create rolebinding serviceaccounts-view --clusterrole=view --group=system:serviceaccounts:my-namespace --namespace=my-namespace      
${namespace}:${serviceaccount}  #指定namespace下的serviceaccount
${namespace}:default            #指定namespace下的默认default serviceaccount
system:serviceaccounts:${namespace} #指定namespace下的所有serviceaccount
system:serviceaccounts   #所有命名空间下的serviceaccount

转载于:https://www.cnblogs.com/lovelinux199075/p/11265086.html

weixin_30698297
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
026 KubernetesRBAC.mp4
05-07
026 KubernetesRBAC.mp4
kubernetes系列】KubernetesRBAC
margu_168的博客
07-11 963
k8s的权限控制在实际工作中不那么经常使用,但是却是很重要的,我们需要深入理解才能很好的解决某些问题。在我们现目前的了解中,常用的授权插件有以下几种: Node(节点认证) ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) Webhook(基于http回调机制的访问控制)kubernetes 集群相关所有的交互都需要通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,Kubernetes的授权是基于插件形式的,在1.5版的时候引入了基于角色的访问控制(Role-Bas
KubernetesRBAC
weixin_50071922的博客
10-08 213
文章目录前言一、RBAC API 对象二、创建一个只能访问某个namespace的用户二、使用步骤1.引入库2.读入数据总结 前言 RBAC 使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启动RBAC,需要在 apiserver 中添加参数 --authorization - mode - RBAC,如果使用 kubeadm 安装的集群,1.6版本以上都默认开启了 RBAC, 可以通过查看Maste
KubernetesRBAC授权控制
weixin_43297299的博客
05-26 618
01、前言 众所周知,kubernetes API是kubernetes的核心组件,kubernetes API以REST接口的形式将Pods、Service、Deployment等信息定义为资源,而这些资源我们又是怎样操作它们的呢?在kubernetes 1.6之后社区逐渐使用RBAC的认证模式,下面将会详细介绍这种认证模式。 02、kubernetes的认证机制   1)如何访问kubernetes API 使用者可以通过kubectl客户端、各个代码语言的客户端库程序或者通过发送REST请求来
KubernetesRBAC基于角色的访问控制
as_dingjia的专栏
12-03 912
RBAC基于角色的访问控制--全拼Role-Based Access Control 创建k8s账号与RBAC授权使用 1、创建私钥 (umask 077; openssl genrsa -out soso.key 2048) 用此私钥创建一个csr(证书签名请求)文件 openssl req -new -key soso.key -out soso.csr -subj "/CN=soso" 拿着私钥和请求文件生成证书 openssl x509 -req -in soso.csr -CA /opt...
kubernetes-RBAC介绍
hszxd479946的博客
09-20 373
一、概述 RBAC: Role-Based Access Control,基于角色的权限控制。 从kubernetes1.6版本起,RBAC成为kubernetes默认的访问控制策略。 RBAC主要包含以下概念: Role:角色,角色定义了一组权限的集合,例如只读权限,读写权限 Subject:主体,主体是角色,可以是用户,也可以是ServiceAccount,在实际使用中,主体通常是ServiceAccount。 RoleBinding:定义了角色和主体之间的绑定关系。 关系图: .
Kubernetes RBAC 详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
03-24 2206
原文链接:Kubernetes RBAC 详解 前面两节课我们学习了Kubernetes中的两个用于配置信息的重要资源对象:ConfigMap和Secret,其实到这里我们基本上学习的内容已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前,我们还需要给大家讲解一个重要的概念:RBAC - 基于角色的访问控制。 RBAC使用rba...
如何开始使用 Kubernetes RBAC
学海无涯苦作舟的博客
10-08 837
基于角色的访问控制 (RBAC) 是一种用于定义用户帐户可以在 Kubernetes 集群中执行的操作的机制。启用 RBAC 可降低与凭证盗窃和帐户接管相关的风险。向每个用户授予他们所需的最小权限集可防止帐户获得过度特权。大多数流行的 Kubernetes 发行版都以单个用户帐户开始,该帐户被授予对集群的超级用户访问权限。作为此帐户进行身份验证可让您执行任何操作,但可能会带来重大的安全风险。在本文中,我们将展示如何启用和配置 Kubernetes RBAC API,以便您可以精确定义用户功能。
Kubernetes组件RBAC
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
12-03 3427
Role:管理某一命名空间下pods,pods/log,pods/exec,deployment等资源。 ClusterRole:管理面更广,可以授予整个namespace下的所有资源,以及Node级别的资源。 操作的资源对象: pods pods/log pods/exec configmaps deployments nodes secrets namespaces 操作 create get delete list update edit watch exec Ro
Kubernetes生产实践系列之一:Kubernetes基于RBAC的访问权限控制
cloudvtech的博客
05-01 1681
一、前言 Kubernetes通过namespaceserviceaccount进行粗粒度的资源和访问控制,通过role和rolebinding进行细粒度的控制。
(3.1)KubernetesRBAC权限管理
allensandy的博客
11-20 245
转自:https://www.orchome.com/1308
kubernetes-rbac-audit:Kubernetes中用于审计RBAC的工具
05-02
ExtensiveRoleCheck是一个Python工具,可扫描Kubernetes RBAC中的危险角色。 该工具是“ Kubernetes Pentest方法论”博客文章系列的一部分。 usage: ExtensiveRoleCheck.py [-h] [--clusterRole CLUSTERROLE] [--...
rbac.dev:Kubernetes RBAC的良好实践和工具的集合
05-10
Kubernetes官方文档讲座和文章Jordan Liggitt的 通过Bitnami Eric ChiangMichael Hausenblas的Balkrishna Pandey Tom Gallacher 测试Kubernetes RBAC 通过CNCF和Bitnami对Kubernetes中的RBAC进行神秘化处理(视频) ...
Kubernetes RBAC with Openssl Authentication.pdf
08-22
Kubernetes RBAC with Openssl Authentication 介绍k8s的认证授权机制
krane:Kubernetes RBAC静态分析和可视化工具
02-03
Kubernetes RBAC分析变得简单 Krane是一个简单的Kubernetes RBAC静态分析工具。 它确定了K8的RBAC设计中的潜在安全风险,并就如何减轻这些风险提出了建议。 Krane仪表板显示了当前的RBAC安全状态,并允许您浏览其...
高级色系PPT11.pptx
05-08
高级色系PPT11.pptx
node-v7.9.0-linux-x86.tar.xz
最新发布
05-08
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于tensorflow的的cnn卷积神经网络的图像识别分类
05-08
【作品名称】:基于tensorflow的的cnn卷积神经网络的图像识别分类 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
### 数据分析概念、使用技巧、优缺点的文章
05-08
数据分析是指通过收集、清洗、处理和解释数据,以发现其中的模式、趋势和关联,从而提供决策支持或洞察见解的过程。它在各行各业中都扮演着至关重要的角色,从市场营销到科学研究,从金融领域到医疗保健,都有广泛的应用。
kubernetes rbac的原理是什么
05-12
Kubernetes RBAC(Role-Based Access Control)是一种基于角色的访问控制机制,它允许管理员控制 Kubernetes 集群中用户和服务的访问权限。 RBAC 具有以下三个基本组件: 1. Role:定义了一组权限,可以被授予给一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值