Kubernetes 权限管理

最新推荐文章于 2024-05-17 14:10:47 发布
最新推荐文章于 2024-05-17 14:10:47 发布
阅读量273 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/xiaominmin/blog/1982480
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

kubernetes 主要通过 APIServer 对外提供服务,对于这样的系统集群来说,请求访问的安全性是非常重要的考虑因素。如果不对请求加以限制,那么会导致请求被滥用,甚至被黑客攻击。

kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。

下图是 API 访问要经过的三个步骤,前面两个是认证和授权,第三个是 Admission Control,它也能在一定程度上提高安全性,不过更多是资源管理方面的作用。

NOTE: 只有通过 HTTPS 访问的时候才会通过认证和授权,HTTP 不需要。

k8s-aaa.png

Authentication (认证)

All Kubernetes clusters have two categories of users: service accounts managed by Kubernetes, and normal users.

当您(真人用户)访问集群(例如使用kubectl命令)时,apiserver 会将您认证为一个特定的 User Account(目前通常是admin,除非您的系统管理员自定义了集群配置)。Pod 容器中的进程也可以与 apiserver 联系。 当它们在联系 apiserver 的时候,它们会被认证为一个特定的 Service Account(例如default)。

normal users

normal users 由外部系统管理,并不由 kubernetes 管理,kubernetesq API中也没有关于 normal users 的定义,所以不能通过 kubernetes API 创建和管理。

service accounts

Service Account 用来访问 kubernetes API,通过 kubernetes API 创建和管理,每个 account 只能在一个 namespace 上生效,存储在 kubernetes API 中的 Secrets 资源。kubernetes 会默认创建,并且会自动挂载到 Pod 中的 /run/secrets/kubernetes.io/serviceaccount 目录下。

Authorization (授权)

RBAC(Role-Based Access Control)

要启用RBAC,请使用--authorization-mode=RBAC启动API Server。

RBAC 是官方才 1.6 版本之后推荐使用的授权方式,因为它比较灵活,而且能够很好地实现资源隔离效果。

这种方法引入了一个重要的概念:Role,翻译成角色。所有的权限都是围绕角色进行的,也就是说角色本身会包含一系列的权限规则,表明某个角色能做哪些事情。比如管理员可以操作所有的资源,某个 namespace 的用户只能修改该 namespace的内容,或者有些角色只允许读取资源。角色和 pods、services 这些资源一样,可以通过 API 创建和删除,因此用户可以非常灵活地根据需求创建角色。

Role与ClusterRole

在RBAC API中,一个角色包含了一套表示一组权限的规则。 权限以纯粹的累加形式累积(没有”否定”的规则)。 角色可以由命名空间(namespace)内的Role对象定义,而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。

一个Role对象只能用于授予对某一单一命名空间中资源的访问权限。 以下示例描述了”default”命名空间中的一个Role对象的定义,用于授予对pod的读访问权限:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # 空字符串""表明使用core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

ClusterRole对象可以授予与Role对象相同的权限,但由于它们属于集群范围对象, 也可以使用它们授予对以下几种资源的访问权限:

  • 集群范围资源(例如节点,即node)
  • 非资源类型endpoint(例如”/healthz”)
  • 跨所有命名空间的命名空间范围资源(例如pod,需要运行命令kubectl get pods --all-namespaces来查询集群中所有的pod)

下面示例中的ClusterRole定义可用于授予用户对某一特定命名空间,或者所有命名空间中的secret(取决于其绑定方式)的读访问权限:


kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  # 鉴于ClusterRole是集群范围对象,所以这里不需要定义"namespace"字段
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

RoleBinding与ClusterRoleBinding

角色绑定将一个角色中定义的各种权限授予一个或者一组用户。 角色绑定包含了一组相关主体(即subject, 包括用户——User、用户组——Group、或者服务账户——Service Account)以及对被授予角色的引用。 在命名空间中可以通过RoleBinding对象授予权限,而集群范围的权限授予则通过ClusterRoleBinding对象完成。

RoleBinding可以引用在同一命名空间内定义的Role对象。 下面示例中定义的RoleBinding对象在”default”命名空间中将”pod-reader”角色授予用户”jane”。 这一授权将允许用户”jane”从”default”命名空间中读取pod。

# 以下角色绑定定义将允许用户"jane"从"default"命名空间中读取pod。
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

参考

 



作者:猴子精h
链接:https://www.jianshu.com/p/e14203450bc3
來源:简书
简书著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。

转载于:https://my.oschina.net/xiaominmin/blog/1982480

weixin_33923762
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
44 _ Kubernetes GPU管理与Device Plugin机制1
08-04
Kubernetes GPU管理与Device Plugin机制】 随着2016年TensorFlow等机器学习框架的兴起,AI技术从学术界迅速渗透到工业界,推动了对高性能计算需求的增长,特别是GPU资源的需求。Kubernetes作为流行的容器编排系统...
Kubernetes权限管理
justlpf的专栏
11-02 211
metadata:一个简单的 ServiceAccount 只需要简单的 namespace 和 name 即可。UserGroupGroup,就是一组用户的意思。如果为Kubernetes配置了外部认证服务,这个用户组就由外部认证服务提供。而对于 Kubernetes 内置用户 ServiceAccount 来说,其也有用户和用户组的概念,其中,对于一个,在Kubernetessystem:serviceaccount:<ServiceAccount名字>而对于其用户组,在。
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2442
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
K8s 身份认证和权限
最新发布
go|Python的个人博客
05-17 802
服务账号与用户账号不同,用户账号是集群中通过了身份认证的人类用户。Service Account Controller 在 namespaces 里管理ServiceAccount,并确保每个有效的 namespaces 中都存在一个名为 “default” 的 ServiceAccount。普通账户是假定被外部或独立服务管理的,由管理员分配 keys,用户像使用 Keystone 或 google 账号一样,被存储在包含 usernames 和 passwords 的 list 的文件里。
看一眼就会的k8s权限管理手把手教学
记忆的博客
11-18 3103
Role #角色,基于名称空间下的资源RoleBinding #角色绑定,基于名称空间下的资源ClusterRole #集群角色,基于集群级别下的资源ClusterRoleBinding #集群角色绑定,基于集群级别下的资源其中,Role和Role是针对于名称空间级别,授予其所在名称空间范围内的许可权限。而ClusterRole和ClusterRoleBinding是针对于集群级别,授予其所在集群范围内的许可权限
K8s之权限管理
a13568hki的博客
04-29 4226
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
k8s权限管理
叶青
01-15 1192
k8s的资源访问控制支持多种模式,对于资源的管理模式基于RBAC(role basic access control)。rolerole 和 clusterrole 的一个区别在于,role授予的权限只能是在所属的namespace,而clusterrole是全局的。在k8s资源中,有些资源是有namespace scope的,可以通过kubectl api-resources 进行查看。
pig权限管理系统-其他
06-12
pig是一个基于 Spring Cloud Hoxton 、Spring Boot 2.3、 OAuth2 的 RBAC 权限管理系统。同时也基于数据驱动视图的理念封装 element-ui,即使没有 vue 的使用经验也能快速上手。 软件功能: 提供对常见容器化支持 ...
Programming Kubernetes
03-16
《Programming Kubernetes》这本书深入探讨了如何利用Kubernetes这一强大的容器编排系统进行应用程序的开发、部署和管理。Kubernetes(通常简称为K8s)是Google开源的一个容器集群管理系统,旨在自动化容器化应用的...
Kubernetes 实践指南
03-17
1. **RBAC(Role-Based Access Control)**: 管理用户和角色权限,确保资源访问的安全。 2. **网络策略**: 使用Network Policy限制Pod间通信,提高网络安全。 3. **Secret管理**: 保护敏感信息,如密码、密钥。 ###...
Kubernetes 实战手册
07-29
手册会涵盖 RBAC(Role-Based Access Control)权限管理、网络策略、秘密管理,以及如何实施安全最佳实践,以保护集群和应用免受潜在威胁。 最后,手册还将讨论 Kubernetes 的扩展性和社区生态,如 Operator 模型...
【错误解决】kubectl权限不够,报错:User “kubernetes“ cannot create resource “clusterrolebindings“ in API group “rb
weixin_42072280的博客
03-11 8071
错误: kubectl --server=https://192.168.56.169:6443 create clusterrolebinding kubernetes --clusterrole=cluster-admin --user=kubernetes 报错信息: error: failed to create clusterrolebinding: clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "kubern
K8S RBAC之Kubeconfig设置用户权限,不同的用户访问不同的namespace
red_sky_blue的专栏
05-30 1574
检查证书是否存在。
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1716
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权。
kubernetes--RBAC权限管理
m0_57911290的博客
01-15 9062
calico/coredns/dashboard >>都需要访问apiserver简称SA,是一种用于让程序访问K8sAPI的服务账号1.当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限2.当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。
【K8S学习笔记-003】权限管理RBAC
DeusExMachina_V的博客
08-05 1090
Role RoleBinding ClusterRole ClusterRoleBinding ServiceAccount
k8s权限配置(ServiceAccount、Role、ClusterRole)
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
Kubernetes(k8s)权限管理RBAC详解
匠人精神,持之以恒!
10-16 8121
文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制(以ServiceAccount展开讲解)1)介绍2)Role和ClusterRole3)RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1)User1、创建K8S 用户2、对用户授权2)Group1、创建K8S 用户和用户组2、对组授权3)ServiceAccount4)为ServiceAccount生成Tok
k8s----基于角色的权限控制:RBAC
jerry_smx的博客
02-16 224
k8s----基于角色的权限控制:RBAC
Kubernetes-cka1.28.pdf
12-20
总结,Kubernetes提供了一套精细的权限管理系统和强大的资源管理工具,使得在云原生环境中对应用程序和服务进行部署、监控和扩展变得简单高效。通过熟练掌握`kubectl`命令,我们可以便捷地完成各种操作,如权限配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值