k8s mysql授权_Kubernetes之(十五)身份认证,授权,准入控制

最新推荐文章于 2024-02-11 14:50:46 发布
最新推荐文章于 2024-02-11 14:50:46 发布
阅读量745 收藏
点赞数
文章标签: k8s mysql授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35607076/article/details/113677306
版权
本文详细介绍了Kubernetes中的身份认证、授权和准入控制过程,重点讲解了ServiceAccount的工作原理及其在Pod中的应用。通过实例展示了如何创建和使用ServiceAccount,以及如何通过Role和ClusterRole进行权限控制。同时,还探讨了用户和Group的权限管理,以及RBAC在Pod访问控制中的作用。
摘要由CSDN通过智能技术生成

Kubernetes之(十五)身份认证,授权,准入控制

API Server作为Kubernetes网关,是访问和管理资源对象的唯一入口,其各种集群组件访问资源都需要经过网关才能进行正常访问和管理。每一次的访问请求都需要进行合法性的检验,其中包括身份验证、操作权限验证以及操作规范验证等,需要通过一系列验证通过之后才能访问或者存储数据到etcd当中。如下图:

m_5ae513116d5641cee062bc81ec148b04_r.png

ServiceAccount

Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同:

User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计

User account是跨namespace的,而service account则是仅局限它所在的namespace

每个namespace都会自动创建一个default service account

Token controller检测service account的创建,并为它们创建secret

开启ServiceAccount Admission Controller后

每个Pod在创建后都会自动设置spec.serviceAccount为default(除非指定了其他ServiceAccout)

验证Pod引用的service account已经存在,否则拒绝创建

如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中

每个container启动后都会挂载该service account的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/

当创建 pod 的时候,如果没有指定一个 service account,系统会自动在与该pod 相同的 namespace 下为其指派一个default service account。而pod和apiserver之间进行通信的账号,称为serviceAccountName。如下:

[root@master manifests]# kubectl get pods

NAME READY STATUS RESTARTS AGE

myapp-0 1/1 Running 0 16h

myapp-1 1/1 Running 0 16h

myapp-2 1/1 Running 0 16h

myapp-3 1/1 Running 0 16h

[root@master manifests]# kubectl get pods myapp-0 -o yaml|grep serviceAccountName

serviceAccountName: default

[root@master manifests]# kubectl describe pods myapp-0

......

default-token-dqd2f:

Type: Secret (a volume populated by a Secret)

SecretName: default-token-dqd2f

......

每个Pod无论定义与否都会有个存储卷,这个存储卷为default-token-*** token令牌,这就是pod和serviceaccount认证信息。通过secret进行定义,由于认证信息属于敏感信息,所以需要保存在secret资源当中,并以存储卷的方式挂载到Pod当中。从而让Pod内运行的应用通过对应的secret中的信息来连接apiserver,并完成认证。每个 namespace 中都有一个默认的叫做 default 的 service account 资源。进行查看名称空间内的secret,也可以看到对应的default-token。让当前名称空间中所有的pod在连接apiserver时可以使用的预制认证信息,从而保证pod之间的通信。

[root@master manifests]# kubectl get sa

NAME SECRETS AGE

default 1 7d21h

[root@master manifests]# kubectl get sa -n ingress-nginx #所有的名称空间都存在name是default的serviceAccount

NAME SECRETS AGE

default 1 2d20h

nginx-ingress-serviceaccount 1 2d5h

[root@master manifests]# kubectl get secret

NAME TYPE DATA AGE

default-token-dqd2f kubernetes.io/service-account-token 3 7d21h

mysql-root-password Opaque 1 23h

tomcat-ingress-secret kubernetes.io/tls 2 2d3h

[root@master manifests]# kubectl get secret -n ingress-nginx

NAME TYPE DATA AGE

default-token-fkw6s kubernetes.io/service-account-token 3 2d20h

nginx-ingress-serviceaccount-token-jvlq9 kubernetes.io/service-account-token 3 2d5h

默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象,是无法通过自身的名称空间的serviceaccount进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义。那么serviceaccount该如何进行定义呢???实际上,service accout也属于一个kubernetes资源,如下查看service account的定义方式:

[root@master ~]# kubectl explain sa.

KIND: ServiceAccount

VERSION: v1

FIELDS:

apiVersion

imagePullSecrets

kind

metadata

secrets

创建serviceaccount

[root@master manifests]# kubectl create serviceaccount mysa -o yaml --dry-run #干跑模式,类似ansible的-C检查语法

apiVersion: v1

kind: ServiceAccount

metadata:

creationTimestamp: null

name: mysa

[root@master manifests]# kubectl create serviceaccount mysa -o yaml --dry-run > serviceaccount.yaml #保存为yaml文件,

[root@master manifests]# cat serviceaccount.yaml

apiVersion: v1

kind: ServiceAccount

metadata:

creationTimestamp: null

name: mysa

[root@master manifests]# kubectl get sa mysa -o yaml

apiVersion: v1

kind: ServiceAccount

metadata:

annotations:

kubectl.kubernetes.io/last-applied-configuration: |

{"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"creationTimestamp":null,"name":"mysa","namespace":"default"}}

creationTimestamp: "2019-04-04T06:23:58Z"

name: mysa

namespace: default

resourceVersion: "273220"

selfLink: /api/v1/namespaces/default/serviceaccounts/mysa

uid: 3ab9e525-56a2-11e9-80a7-000c295ec349

secrets:

- name: mysa-token-cxlvc

看到有一个 token 已经被自动创建,并被 service account 引用。设置非默认的 service account,只需要在 pod 的spec.serviceAccountName 字段中将name设置为您想要用的 service account 名字即可。在 pod 创建之初 service account 就必须已经存在,否则创建将被拒绝。需要注意的是不能更新已创建的 pod 的 service account。

自定义serviceaccount

在default名称空间创建了一个sa为admin

[root@mas

最低0.47元/天 解锁文章
真知·高杨
关注
Kubernetes】 configmaps is forbidden User system:anonymous cannot list resource configmaps
九师兄
07-01 3578
1.背景 mac安装Kubernetes后登录报错 【Docker】Mac下Docker启动Kubernetes 给匿名用户授权即可解决,测试环境可用此快速解决 (base) lcc@lcc kubernetes$ kubectl create clusterrolebinding test:anonymous --clusterrole=cluster-admin --user=system:anonymous clusterrolebinding.rbac.authorization.k8s.io/.
【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
最新发布
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
k8s mysql授权_mysql授权
weixin_39936558的博客
02-04 301
#### 授权格式:~~~GRANT ON TO [IDENTIFIED BY ""] [WITH GRANT OPTION];~~~#### 授权参数讲解:**privilegesCode**表示授予的权限类型,常用的有以下几种类型:* all privileges:所有权限。* select:读取权限。* delete:删除权限。* update:更新权限。* c...
匿名用户被禁止访问configmaps is forbidden: User "system:anonymous" cannot list resource "configmaps" in API g
wangmiaoyan的博客
11-26 1万+
configmaps is forbidden: User “system:anonymous” cannot list resource “configmaps” in API group “” in the namespace “default” 给匿名用户授权即可解决,测试环境可用此快速解决 kubectl create clusterrolebinding test:anonymous ...
Kubernetes 集群部署–所遇到的问题
happyzwh的专栏
01-11 4270
          查看dashboard界面 访问以下链接(1.8.3访问 https://masterip:6443/ui 无法访问): https://MasterIP:6443/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/ 当然这个链接是怎么来的? [root@ma...
k8s认证和授权
qq_41009846的博客
09-01 1728
流程 Authentication:身份认证
Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 3037
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
kubernetes(k8s) 的基本概念
qq_36275923的博客
04-23 1571
文章目录kubernetes(k8s) 的基本概念1.什么是kubernetes2.Kubernetes的核心概念3.Kubernetes架构和组件3.1 架构3.2 组件 kubernetes(k8s) 的基本概念 1.什么是kubernetes   首先,他是一个全新的基于容器技术的分布式架构领先方案。Kubernetes(k8s)是Google开源的容器集群管理系统(谷歌内部:Borg)...
Kubernetes之(十五身份认证授权准入控制
weixin_30273175的博客
04-12 809
目录 Kubernetes之(十五身份认证授权准入控制 ServiceAccount 创建serviceaccount 自定义serviceaccount 自建证书和账号进行访问apiserver RBAC简介 Kuberne...
pods is forbidden: User "system:serviceaccount:kube-system:namespace-controller" cannot create resou
jstang的博客
09-11 1万+
Web UI部署参考自 https://blog.csdn.net/weixin_41806245/article/details/89381752 解决方案参考自https://www.cnblogs.com/harlanzhang/p/10045975.html 部署完K8sWeb UI后,在Web上部署Pod、Service、RS、RC等资源报错 报错信息: pods is forbid...
k8s查看pod日志报错 Error from server (Forbidden)
Jerry00713的博客
07-19 5702
这个错误是说kube-apiserver这个用户没有权限查看日志,我们要给这个用户一个admin的角色权限就好了。查看pod日志时,报权限错误。二进制搭建的k8s集群。
# 《已解决——Error from server (Forbidden): pods ‘pod-name‘ is forbidden问题》
GoCloudNative - 云原生技术的探索者。
10-04 1294
大家好!欢迎回到猫头虎博主的小窝!🐯 在我们探索云原生技术的道路上,经常会遇到一些出乎意料的小挑战,比如今天要探讨的这个Kubernetes的权限问题——。🚀 权限问题常常让我们的工作陷入困境,但别担心,今天我们将一起深入挖掘这个问题背后的原因,并探索解决的方法,让我们的云原生之旅更加顺畅!⛵️虽然这个问题看起来有些棘手,但只要我们深入理解Kubernetes的RBAC机制,就能够轻松找到问题的根源,并制定出解决方案。🔍 在这个过程中,我们不仅解决了问题,还加深了我们对Kubernetes权限控制的理解。
Error from server (Forbidden): Forbidden (user=system:anonymous, verb=get, resource=nodes, subresour
qq_46480020的博客
03-25 3670
Error from server (Forbidden): Forbidden (user=system:anonymous, verb=get, resource=nodes, subresource=proxy) K8s Master1节点上查看日志,报错Error [root@master1 ~]# kubectl logs nginx-deployment-5477945587-jwlgz Error from server (Forbidden): Forbidden (user=system:
基于K8S构建企业级Jenkins CI/CD平台实战(二) 之 kubernetes-plugin 插件使用
LoveSummer
12-10 7854
1. 传统架构与K8S 架构的区别 (1). 传统Master/Slave架构,Master收到Job后,将请求转发到Slave节点处理。Slave节点数固定,Slave节点未能自动申缩容。 (2). K8S中Jenkins Master/Slave架构,Master收到Job后,会自动创建Slave节点处理此Job,根据客户端的Job自动申缩容。 Jenkins的kubernetes-plugin在执行构建时会在kubernetes集群中自动创建一个Pod,并在Pod内部创建一个名为jnlp的容器,该容
kubernetes dashboard 授权/权限/角色绑定问题导致页面报错
rockstics的博客
02-16 7344
报错: namespaces is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resourcenamespaces” in API group “” at the cluster scope system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard events is forbidden:
Kubernetes dashboard1.8.0 WebUI安装与配置
热门推荐
Aurora Silent
12-19 3万+
kubernetes-dashboard.yamlapiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: kubernetes-dashboard addonmanager.kubernetes.io/mode: Reconcile name: kubernetes-dashboard namespac
system:serviceaccount:kube-ops:jenkins“ cannot list resource “pods“ in API group ““ in the namespace
qq_48349180的博客
10-17 1705
在我们使用k8s部署jenkins访问jenkins进行连接k8s集群时报错,这个问题是在2021年11月到至今博主又遇到此问题,发现竟是部署jenins的yaml文件中clusterrolebinding中的serviceaccount中的namespace写错了导致的,需在clusterrolebinding填写serviceaccount创建时的namespace。文章简短希望能给大家带来实用性的文档。
猫头虎分享已解决Bug || Kubernetes权限问题解析 :Error from server (Forbidden): pods ‘pod-name‘ is forbidden: Use
GoCloudNative - 云原生技术的探索者。
02-11 1231
嗨,云原生爱好者们,我是你们的好朋友猫头虎博主!。这个问题通常涉及RBAC(基于角色的访问控制)、Namespace资源隔离、API权限等核心概念。接下来,让我们用技术的爪子,一步步撕开这个Bug的面纱吧!🔍问题部分描述解决方法用户角色用户user-name的角色权限不足检查并修改角色或角色绑定Namespace用户尝试访问的确保用户有该Namespace的访问权限RBAC配置角色权限设置不当重新配置RBAC,确保正确的权限分配。
k8s网络架构图_kubernetes搭建高可用集群架构图
06-01
以下是一个基于Kubernetes的网络架构图示: ![k8s网络架构图](https://i.ibb.co/9cCmGvJ/k8s-network.png) 在这个架构中,每个节点都有一个kubelet代理,它负责与Master节点通信并管理本地容器。所有的容器都运行在Pod中,每个Pod都有一个唯一的IP地址,这些IP地址由Kubernetes管理。 为了使容器可以互相访问和通信,Kubernetes使用了一个虚拟网络,称为Kubernetes网络。在这个网络中,每个节点都有一个虚拟网络接口,称为kube-proxy,它负责路由流量到正确的Pod中。 此外,Kubernetes还支持多种网络插件,例如Flannel、Calico等。这些插件可以提供不同的网络拓扑和功能,以满足不同的需求。 对于高可用集群的架构图,可以参考以下示意图: ![k8s高可用集群架构图](https://i.ibb.co/cL5fjgF/k8s-ha-arch.png) 在这个架构中,有三个Master节点和多个Worker节点。Master节点通过etcd存储来共享状态和配置信息,并且使用负载均衡器将流量分配到三个Master节点上,以实现完全的高可用性。此外,还可以使用多个etcd实例来提高可用性和性能。Worker节点通过kubelet代理与Master节点通信,并运行容器和服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值