K8s中的RBAC认证授权之基于HTTPS证书给User授权认证

最新推荐文章于 2025-12-05 22:01:37 发布
转载 最新推荐文章于 2025-12-05 22:01:37 发布 · 49 阅读 · 0
文章标签:

#kubernetes #https #java #容器 #云原生

概述

本文主要介绍在K8s中如何使用证书给User进行授权认证。

在生产环境中,当你想给对应的人员分配不同的权限,则可以阅读这篇文章

阅读这篇文章之前,你应该有一些前置知识,应该知道K8s的授权认证

可以阅读这篇文章:一文搞懂K8s中的RBAC认证授权

实操

使用cfssl生成User的CA证书

cfssl可以阅读这篇文章:https://www.cnblogs.com/huangSir-devops/p/18876361


   

       
## 创建CA证书

       
[root@master ~/cfssl]# cat ca-config.json

       
{

       
  "signing": {

       
    "default": {

       
       # 配置默认证书有效期为10年

       
      "expiry": "87600h"

       
    },

       
    "profiles": {

       
      "kubernetes": {

       
        "expiry": "87600h",

       
        "usages": ["signing", "key encipherment", "server auth", "client auth"]

       
      }

       
    }

       
  }

       
}

       
 

       
# 创建CA证书请求

       
[root@master ~/cfssl]# cat ca-csr.json

       
{

       
  # CN表示用户名称

       
  "CN": "develop",

       
  "hosts": [],

       
  "key": {

       
    # 加密算法

       
    "algo": "rsa",

       
    # 密钥长度

       
    "size": 4096

       
  },

       
  "names": [

       
    {

       
      # 国家代码,CN代表是中国

       
      "C": "CN",

       
      # 省份

       
      "ST": "Beijing",

       
      # 城市或地区

       
      "L": "Beijing",

       
      # 这里O表示用户组

       
      "O": "dev

       
 # 组织单位(Organizational Unit),可以理解成公司部门

       
 "OU": "ca"

       
 }

       
 ]

       
}

       
 

       
# 创建证书存储目录

       
[root@master ~/cfssl]# mkdir -p develop

       
# 生成证书

       
[root@master ~/cfssl]# cfssl gencert \

       
 -ca=/etc/kubernetes/pki/ca.crt \

       
 -ca-key=/etc/kubernetes/pki/ca.key \

       
 -config=ca-config.json \

       
 -profile=kubernetes \

       
 ca-csr.json | cfssljson -bare develop/develop

       
2025/06/07 13:52:37 [INFO] generate received request

       
2025/06/07 13:52:37 [INFO] received CSR

       
 

       
# 查看文件

       
[root@master ~/cfssl]# tree

       
.

       
├── ca-config.json

       
├── ca-csr.json

       
└── develop

       
 ├── develop-key.pem # 公钥

       
 ├── develop.csr

       
 └── develop.pem # 私钥

生成kubeconfig文件

创建集群入口


   

       
# 配置集群,集群可以设置多套,此处只配置了一套

       
# --certificate-authority

       
# 指定K8s的ca根证书文件路径

       
# --embed-certs

       
# 如果设置为true,表示将根证书文件的内容写入到配置文件中,

       
# 如果设置为false,则只是引用配置文件,将kubeconfig

       
# --server

       
# 指定APIServer的地址。

       
# --kubeconfig

       
# 指定kubeconfig的配置文件名称

       
[root@master ~/cfssl]# kubectl config set-cluster dev \

       
  --certificate-authority=/etc/kubernetes/pki/ca.crt \

       
  --embed-certs=true \

       
  --server=https://apiserver.cluster.local:6443 \

       
  --kubeconfig=develop.kubeconfig

       
 

       
# 检查kubeconfig的配置文件

       
[root@master ~/cfssl]# ll develop.kubeconfig 

       
-rw------- 1 root root 5336 Jun  4 11:27 develop.kubeconfig

设置客户端认证,客户端将来需要携带证书让服务端验证


   

       
[root@master ~/cfssl]# kubectl config set-credentials develop \

       
  --client-key=/root/cfssl/develop/develop-key.pem \

       
  --client-certificate=/root/cfssl/develop/develop.pem \

       
  --embed-certs=true \

       
  --kubeconfig=develop.kubeconfig

设置默认上下文,可以用于绑定多个客户端和服务端的对应关系。


   

       
[root@master ~/cfssl]# kubectl config set-context develop \

       
  --cluster=dev \

       
  --user=develop \

       
  --kubeconfig=develop.kubeconfig

测试使用生成的kubeconfig文件访问K8s集群资源


   

       
# 设置当前使用的上下文

       
[root@master ~/cfssl]# kubectl config use-context develop --kubeconfig=/root/cfssl/develop.kubeconfig

       
Switched to context "develop"

       
 

       
# 访问测试,这里显示无权限

       
[root@master ~/cfssl]# kubectl get po --kubeconfig=/root/cfssl/develop.kubeconfig

       
Error from server (Forbidden): pods is forbidden: User "develop" cannot list resource "pods" in API group "" in the namespace "default"

为用户配置Role

上面的步骤,是认证没有问题了,但是对应的用户对集群没有权限操作


   

       
[root@master ~/role]# cat role-default.yaml

       
apiVersion: rbac.authorization.k8s.io/v1

       
kind: Role

       
metadata:

       
  namespace: default

       
  name: custom-role

       
rules:

       
  # 规则1:操作核心组和 apps 组的 pods、deployments,仅允许 get 和 list

       
- apiGroups: ["","apps"]

       
  resources: ["pods","deployments"]

       
  verbs: ["get", "list"]

       
 

       
  # 规则2:操作核心组和 apps 组的 configmaps、secrets、daemonsets,仅允许 get 和 list

       
- apiGroups: ["","apps"]

       
  resources: ["configmaps","secrets","daemonsets"]

       
  verbs: ["get", "list"]

       
 

       
  # 规则3:操作核心组的 secrets,允许 delete 和 create

       
- apiGroups: [""]

       
  resources: ["secrets"]

       
  verbs: ["delete","create"]

       
 

       
[root@master ~/role]# kubectl apply -f role-default.yaml

       
 

       
[root@master ~/role]# kubectl get role custom-role

       
NAME          CREATED AT

       
custom-role   2025-06-07T06:34:52Z

       
 

       
# 查看详情

       
[root@master ~/role]# kubectl describe role custom-role

       
Name:         custom-role

       
Labels:       <none>

       
Annotations:  <none>

       
PolicyRule:

       
  Resources         Non-Resource URLs  Resource Names  Verbs

       
  ---------         -----------------  --------------  -----

       
  secrets           []                 []              [get list delete create]

       
  configmaps        []                 []              [get list]

       
  daemonsets        []                 []              [get list]

       
  deployments       []                 []              [get list]

       
  pods              []                 []              [get list]

       
  configmaps.apps   []                 []              [get list]

       
  daemonsets.apps   []                 []              [get list]

       
  deployments.apps  []                 []              [get list]

       
  pods.apps         []                 []              [get list]

       
  secrets.apps      []                 []              [get list]

使用RoleBinding关联Role


   

       
apiVersion: rbac.authorization.k8s.io/v1

       
kind: RoleBinding

       
metadata:

       
  # RoleBinding 名称

       
  name: develope-rolebinding

       
  # 作用的命名空间

       
  namespace: default

       
roleRef:

       
  apiGroup: rbac.authorization.k8s.io

       
  # 引用的角色类型(必须是 Role 或 ClusterRole)

       
  kind: Role

       
  # 引用的角色名称

       
  name: custom-role

       
# 被授权的主体列表

       
subjects:

       
# 主体类型(User/ServiceAccount/Group)

       
- kind: User

       
  # 主体名称,对应生成证书的CN字段

       
  name: develop

       
  #APIGroup 默认是 "rbac.authorization.k8s.io"。这意味着这些权限规则默认只适用于 #RBAC API 资源,例如 Role、RoleBinding、ClusterRole 和 ClusterRoleBinding。

       
  apiGroup: "rbac.authorization.k8s.io"

       
 

       
[root@master ~/role]# cat rolebinding-develop.yaml

       
apiVersion: rbac.authorization.k8s.io/v1

       
kind: RoleBinding

       
metadata:

       
  # RoleBinding 名称

       
  name: develope-rolebinding

       
  # 作用的命名空间

       
  namespace: default

       
roleRef:

       
  apiGroup: rbac.authorization.k8s.io

       
  # 引用的角色类型(必须是 Role 或 ClusterRole)

       
  kind: Role

       
  # 引用的角色名称

       
  name: custom-role

       
# 被授权的主体列表

       
subjects:

       
# 主体类型(User/ServiceAccount/Group)

       
- kind: User

       
  # 主体名称,对应生成证书的CN字段

       
  name: develop

       
  #APIGroup 默认是 "rbac.authorization.k8s.io"。这意味着这些权限规则默认只适用于 #RBAC API 资源,例如 Role、RoleBinding、ClusterRole 和 ClusterRoleBinding。

       
  apiGroup: "rbac.authorization.k8s.io"

       
 

       
# 创建RoleBinding

       
[root@master ~/role]# kubectl apply -f rolebinding-develop.yaml

       
 

       
# 查看RoleBinding

       
rolebinding.rbac.authorization.k8s.io/develope-rolebinding created

       
[root@master ~/role]# kubectl get rolebinding

       
NAME                   ROLE                      AGE

       
develope-rolebinding   Role/custom-role          11s

       
 

       
# 查看详情

       
[root@master ~/role]# kubectl describe rolebinding develope-rolebinding

       
Name:         develope-rolebinding

       
Labels:       <none>

       
Annotations:  <none>

       
Role:

       
  Kind:  Role

       
  Name:  custom-role

       
Subjects:

       
  Kind  Name     Namespace

       
  ----  ----     ---------

       
  User  develop

再次使用User测试

查看Pod有权限


   

       
[root@master ~/role]# kubectl get po --kubeconfig=/root/cfssl/develop.kubeconfig

       
NAME                                                     READY   STATUS    RESTARTS   AGE

       
alertmanager-prometheus-kube-prometheus-alertmanager-0   2/2     Running   0          21h

       
nginx-pod                                                0/1     Pending   0          6d16h

       
prometheus-grafana-55cbbf54b7-lmhnd                      3/3     Running   0          20h

       
prometheus-kube-prometheus-operator-847fd659bc-scp4w     1/1     Running   0          21h

       
prometheus-kube-state-metrics-5fb66759db-nb242           1/1     Running   0          21h

       
prometheus-prometheus-kube-prometheus-prometheus-0       2/2     Running   0          16h

       
prometheus-prometheus-node-exporter-89xt7                1/1     Running   0          21h

       
prometheus-prometheus-node-exporter-cn8s4                1/1     Running   0          21h

       
prometheus-prometheus-node-exporter-llqgx                1/1     Running   0          21h

删除Pod无权限


   

       
[root@master ~/role]# kubectl delete po nginx-pod --kubeconfig=/root/cfssl/develop.kubeconfig

       
Error from server (Forbidden): pods "nginx-pod" is forbidden: User "develop" cannot delete resource "pods" in API group "" in the namespace "default"

删除Pod需要添加对应的权限


   

       
# 修改Role

       
[root@master ~/role]# cat role-default.yaml

       
apiVersion: rbac.authorization.k8s.io/v1

       
kind: Role

       
metadata:

       
  namespace: default

       
  name: custom-role

       
rules:

       
- apiGroups: ["","apps"]

       
  resources: ["pods","deployments"]

       
  # 添加delete

       
  verbs: ["get", "list","delete"]

       
 

       
- apiGroups: ["","apps"]

       
  resources: ["configmaps","secrets","daemonsets"]

       
  verbs: ["get", "list"]

       
 

       
- apiGroups: [""]

       
  resources: ["secrets"]

       
  verbs: ["delete","create"]

       
 

       
# 重新应用

       
[root@master ~/role]# kubectl apply -f role-default.yaml

       
role.rbac.authorization.k8s.io/custom-role configured

重新测试删除Pod


   

       
[root@master ~/role]# kubectl delete po nginx-pod --kubeconfig=/root/cfssl/develop.kubeconfig

       
pod "nginx-pod" deleted # 这里显示正常
原创作者: huangSir-devops 转载于: https://www.cnblogs.com/huangSir-devops/p/18916651
第八篇:k8s基于RBAC认证授权介绍和实践
Mr.ACO的专栏
12-05 952
第八篇:k8s基于RBAC认证授权介绍和实践
k8s 基于RBAC认证授权介绍和实践
「 虚幻私塾」
01-23 1002
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2950
随着Kubernetes云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
一文搞懂K8s中的RBAC认证授权
dsgdauigfs的博客
06-09 1311
鉴权 | Kubernetes使用 RBAC 鉴权 | KubernetesKubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。
K8s集群RBAC认证授权详解
RSQ博客
06-19 3411
RBAC(Role-Based Access Control) 基于角色的访问控制,顾名思义就是通过给角色赋予相应的权限,从而使得该角色具有访问相关资源的权限,而在K8s中这些资源分属于两个级别,名称空间(`role/rolebinding`)和集群级别(`clusterrole/clusterrolebinding`)这两个都是标准的K8s资源,可以直接定义。
k8s----RBAC认证中心
weixin_60047971的博客
08-21 946
k8s对我们整个系统的认证授权,访问控制做了精密的设置;对于k8s集群来说,apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候,也可以通过宿主机的NodePort暴露的端口访问里面的程序,用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(admination controller)什么是RBACRBAC是基于角色的访问控制graph TBA[用户/SA] --> B[发起请求]C --> D[认证身份]
k8s认证授权
maoqiwei的博客
11-05 1301
认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。
k8s中的认证授权
K1487994142的博客
10-14 1029
认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。用户账户是全局性的。其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户。用于拦截请求的一种方式,运行在认证授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。
Kubernetes(k8s)的安全认证介绍和RBAC基于角色的访问控制使用
Bulut0907
09-14 715
User Account:一般是独立于kubernetes的Pod服务之外的其他服务管理的用户账号Service Account:kubernetes为Pod的服务进程在访问kubernetes时提供身份标识授权发生在认证成功之后,然后kubernetes会根据事先定义的授权策略来决定用户是否有权限访问,这个过程就称为授权
k8sRBAC使用
crontab_e的博客
11-12 919
知道了ssl原理,https请求过程,我们就了解了,ssl的安全机制;实际上k8s当中“根证书”早就生成好了,在我们kubeadm部署的时候,就自动帮我们生成了;k8s是模拟ca机构,给自己颁发证书,自己验证自己,所以,整数中有私钥、公钥等;total 56#根证书#ca机构的私钥。
算力自由:用K8s和Ollama打造你的专属AI基础设施
本人任职于安超云技术架构部,拥有十余年云计算与AI经验。专注AI基础设施、分布式集群、高可用架构、虚拟化、存储、网络及数据库等领域。博客内容以学习笔记为主,力求准确,但个人能力所限,难免疏误。非常欢迎交流指正,期待与您共同探讨技术
12-05 644
本文详细介绍了在Ubuntu系统上安装NVIDIA显卡驱动、Kubernetes/KubeSphere集群以及GPU Operator的完整流程。主要内容包括:1) 环境准备步骤,如删除旧驱动、禁用开源驱动;2) 通过官方驱动安装及验证方法;3) 使用KubeKey工具部署Kubernetes(1.28.12/1.30.10)和KubeSphere(3.4.1/4.1.3)集群;4) GPU Operator安装前提条件检查及代理配置。文章提供了详细的命令行操作指南和版本兼容性说明,适用于需要在Kubern
K8S-daemonset控制器
Empty_777的博客
12-03 531
摘要:DaemonSet是Kubernetes控制器,确保集群每个节点运行指定Pod副本,适用于存储、日志收集和监控等场景。与Deployment不同,它每个节点只运行一个副本。资源清单文件包含apiVersion、kind、metadata和spec等字段,spec定义模板、更新策略等。案例展示如何创建运行nginx的DaemonSet,通过selector匹配Pod标签,template定义Pod配置。DaemonSet自动管理Pod生命周期,随节点增减而调整。
云原生 APM 实战:Prometheus Operator+K8s 构建容器化微服务监控体系
m0_72256543的博客
12-04 622
进入 Grafana → Dashboards → New dashboard → Add visualization;配置关联图表:图表 1:订单服务 Pod CPU 使用率与接口响应时间(双 Y 轴图)左 Y 轴(蓝色):Pod CPU 使用率(指标:sum(rate(container_cpu_usage_seconds_total{namespace="order-namespace",pod=~"order-service-.*"}[5m])) by (pod));
k8s 启动 postgresql 数据库
Freesia_2350的博客
12-03 370
k8s 启动 postgresql 数据库
k8s——日志采集方案
m0_68754495的博客
12-02 949
本文介绍了Kubernetes环境下日志收集的两种主要方案:传统EFK架构和K8s专用架构。EFK方案包含Elasticsearch(存储)、Kibana(展示)和Filebeat(采集)三个组件,详细说明了各组件安装配置方法。K8s方案则针对容器日志特点,介绍了节点级日志代理、边车容器和应用直接暴露三种采集方式,并提供了Helm安装Elasticsearch、Kibana和Filebeat的具体步骤。文章还包含集群状态检查、索引模式创建等实用操作指南,特别强调了在K8s中应将日志输出到stdout/std
K8S-Ingress资源对象
2501_92914059的博客
12-05 743
本文介绍了Kubernetes中Service对外暴露服务的两种主要方式(NodePort和LoadBalancer)及其局限性,重点讲解了Ingress作为更优解决方案的实现原理。文章详细演示了如何搭建Ingress环境,包括部署Ingress控制器、创建后端服务Pod,并分别验证了NodePort和LoadBalancer两种模式下的Ingress配置。通过案例展示了Ingress如何基于域名和路径规则将请求路由到不同Service,实现七层负载均衡功能。
K8s 认证级别怎么选?适配不同运维场景
噗老师带你打代码
12-05 319
主流K8s认证为CNCF体系的CKA、CKAD、CKS,适配不同运维场景与人群。CKA适合运维新人,CKAD适配互联网业务运维,CKS针对金融/政企核心安全运维,选择关键是匹配自身场景与背景。
Rockylinux急速安装K8s学习环境
最新发布
会飞的小蛮猪博客
12-05 154
目前在学习k8s,为了更快的了解k8s的各项功能,先使用RockyLinux快速搭建了一个实验环境,使用了1主2从的结构,这里分享一下,k8s小白大佬别喷!
K8s 1.28.2 + Containerd + CentOS7.9 集群部署
需要远程指导仿真实验、代码有问题的,请后台私信。
12-02 977
本文以“1 Master + 2 Node”架构为蓝图,手把手演示如何在 CentOS 7.9 上基于 containerd 部署 Kubernetes 1.28.2 高可用集群
k8s rbac用户授权逻辑
02-13
### Kubernetes RBAC 用户授权机制 #### 角色定义 在Kubernetes中,RBAC(基于角色的访问控制)用于管理谁可以做什么以及在哪里做。一个角色是一组权限规则的集合[^5]。这些权限以累加的方式组合在一起,并不存在否定规则。 对于特定命名空间内的资源,权限可以通过`Role`对象来定义;而对于跨所有命名空间或集群级别的资源,则使用`ClusterRole`对象。 #### 绑定用户与角色 为了使普通用户获得对集群内资源的操作能力,必须先将其绑定至适当的角色上。这通常通过创建`RoleBinding`或`ClusterRoleBinding`资源完成。前者适用于单个命名空间范围内的角色分配,后者则是针对全局性的`ClusterRole`进行绑定[^3]。 例如,要授予某位开发者对其开发环境所在命名空间下的Pods完全读写权限: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: development name: pod-editor rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list", "create", "update", "patch", "delete"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: developer-pod-access namespace: development subjects: - kind: User name: "developer@example.com" roleRef: kind: Role name: pod-editor apiGroup: rbac.authorization.k8s.io ``` 这段配置首先定义了一个名为`pod-editor`的角色,它允许执行一系列关于Pod的操作。接着,通过`RoleBinding`将这个角色赋予给指定邮箱地址对应的用户,在此案例中即为`developer@example.com`。 #### 特殊角色 值得注意的是存在一些预设好的特殊角色,比如`cluster-admin`,该角色拥有几乎不受限制的最大化权限(`verbs=*`),可用于管理和维护整个Kubernetes集群[^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值