rbac权限管理5张表_k8s之RBAC-基于角色的访问控制

最新推荐文章于 2020-12-06 12:29:24 发布
最新推荐文章于 2020-12-06 12:29:24 发布
阅读量103 收藏
点赞数
文章标签: rbac权限管理5张表

一个在名称空间内的对象的完整url模板:

Object_URL: /apis///namespaces//[OJJECT_ID]

role based access control,将权限授权给角色role,让用户扮演某个角色,这样用户就会有对应的权限.

许可授权:定义role时,会标明对哪些对象(object),做哪些操作(operations)

42f9e0299e2e74f7f94d4bd20af2fc77.png

图解:名称空间级别的 Role,通过 RoleBinding 把用户 user 绑定到 Role 上,那么这个用户就有了管理整个名称空间的权限;集群级别的 ClusterRole,通过 ClusterRoleBinding 将用户 user 绑定到 ClusterRole 上,则该用户就有了管理整个集群的权限;通过 RoleBinding 把用户 user 绑定到 ClusterRole 上,用户依然只有管理某个名称空间的权限,但这样做的好处是不用在每个 ns 中都创建 Role 了.

1.创建一个 role

kubectl create role pods-reader --verb=get,list,watch --resource=pods --dry-run -o yamlcat role-demo.yamlapiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata:  name: pods-reader  namespace: defaultrules:- apiGroups:  - ""  resources:  - pods  verbs:  - get  - list  - watch kubectl apply -f role-demo.yaml# 通过RoleBinding把用户User绑定到Role上kubectl create rolebinding lixiang-read-pods --role=pods-reader --user=lixiang-test -o yaml --dry-runapiVersion: rbac.authorization.k8s.io/v1kind: RoleBindingmetadata:  creationTimestamp: null  name: lixiang-read-podsroleRef:  apiGroup: rbac.authorization.k8s.io  kind: Role  name: pods-readersubjects:- apiGroup: rbac.authorization.k8s.io  kind: User  name: lixiang-test # 此时我创建了一个lixiang-test,它被绑定在pods-reader上kubectl config use-context lixiang-test@kuberneteserror: no context exists with the name: "lixiang-test@kubernetes".# 说明:名字不能瞎写,得和前面的创建的lixiang@kubernetes保持一致kubectl delete rolebinding lixiang-read-podskubectl create rolebinding lixiang-read-pods --role=pods-reader --user=lixiang# 切换用户后,即可获取default下的pod读权限kubectl config use-context lixiang@kubernetes

一般这么用:系统上有一个普通用户,将~/.kube/ 拷贝到 /home/user/ 目录下,修改权限,然后切到某个context下,获取对应资源.

2.创建一个 clusterrole

kubectl create clusterrole cluster-reader --verb=get,list,watch --resource=pods -o yaml --dry-runapiVersion: rbac.authorization.k8s.io/v1kind: ClusterRolemetadata:  creationTimestamp: null  name: cluster-readerrules:- apiGroups:  - ""  resources:  - pods  verbs:  - get  - list  - watch kubectl delete rolebinding lixiang-read-pods# 让用户lixiang扮演clusterrole,此时该用户有了整个集群的读权限kubectl create clusterrolebinding lixiang-read-all-pods --clusterrole=cluster-reader --user=lixiangapiVersion: rbac.authorization.k8s.io/v1beta1kind: ClusterRoleBindingmetadata:  name: lixiang-read-all-podsroleRef:  apiGroup: rbac.authorization.k8s.io  kind: ClusterRole  name: cluster-readersubjects:- apiGroup: rbac.authorization.k8s.io  kind: User  name: lixiang # 通过RoleBinding把用户user绑定到ClusterRole上,RoleBinding在哪个ns,则用户就只有该ns的管理权限kubectl delete clusterrolebinding lixiang-read-all-podskubectl create rolebinding lixiang-read-pods --clusterrole=cluster-reader --user=lixiang# admin和cluster-admin有哪些权限kubectl get clusterrole admin -o yaml# 将用户rolebinding到admin上,它就成了default名称空间的管理员kubectl create rolebinding whatever --clusterrole=admin --user=lixiang

3.kubernetes-admin 是如何获得整个集群的权限的

kubectl get clusterrolebinding cluster-admin -o yamlapiVersion: rbac.authorization.k8s.io/v1kind: ClusterRoleBindingmetadata:  annotations:    rbac.authorization.kubernetes.io/autoupdate: "true"  creationTimestamp: "2019-04-24T07:33:08Z"  labels:    kubernetes.io/bootstrapping: rbac-defaults  name: cluster-admin  resourceVersion: "108"  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin  uid: 350c92f1-6663-11e9-acc0-000c29b388a2roleRef:  apiGroup: rbac.authorization.k8s.io  kind: ClusterRole  name: cluster-adminsubjects:- apiGroup: rbac.authorization.k8s.io  kind: Group  name: system:masters openssl x509 -in ./apiserver-kubelet-client.crt -text -nooutSubject: O=system:masters, CN=kube-apiserver-kubelet-client

用 ClusterRoleBinding 将 system:masters 这个组绑定到了 cluster-admin 上,kubectl config view得到 kubernetes-admin 管理着整个集群,它的 CN 名字是 kube-apiserver-kubelet-client,所以它的组是 system:masters,所以这个用户有 cluster-admin 的所有权限.

subject 的 kind 还可以是 ServiceAccount,即将这些 sa 绑定到集群角色或名称空间角色上,使得以这个 sa 启动的 pod 对名称空间或集群有了一定权限,可以参考 ingress-nginx.

参考博客:http://blog.itpub.net/28916011/viewspace-2215100/

weixin_39755952
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot、 Spring Cloud 、OAuth2 的RBAC 权限管理系统分享
代码界的扛把子
06-28 1312
基于 Spring Cloud Hoxton 、Spring Boot 2.2、 OAuth2 的RBAC权限管理系统 基于数据驱动视图的理念封装 Ant Design Vue,即使没有 vue 的使用经验也能快速上手 提供 lambda 、stream api 、webflux 的生产实践 项目源码获取方式:关注本头条号,转发点赞文章之后后天私信【源码】即可获取 核心依赖 模块说明 cjlgb-cloud-platform ├── cjlgb-design-common ...
五表权限
java_____xiaobai的博客
12-15 6890
设计基础:用户、角色、权限三大核心表,加上用户角色角色权限两个映射表(用于给用户表联系上权限表)。这样就可以通过登录的用户来获取权限列表,或判断是否拥有某个权限。 大致用到5张表:用户表(UserInfo)、角色表(RoleInfo)、菜单表(MenuInfo)、用户角色表(UserRole)、角色菜单表(RoleMenu)。 各表的大体表结构如下: 1、用户表(UserInfo):Id、Use...
rbac权限管理5张表_基于 Spring Cloud Greenwich 的RBAC 权限管理系统
weixin_39911475的博客
11-25 299
Pig微服务架构基于 Spring Cloud Greenwich 、Spring Security OAuth2 的RBAC权限管理系统基于数据驱动视图的理念封装 Element-ui,即使没有 vue 的使用经验也能快速上手提供对常见容器化支持 Docker、Kubernetes、Rancher2 支持提供 lambda 、stream api 、webflux 的生产实践spring clo...
rbac权限管理5张表_正在用SpringBoot的你,这个RBAC权限管理系统一定能让你有所收获...
weixin_39553757的博客
12-01 174
项目名称:cjlgb-cloud-platform项目作者:王阿九开源许可协议:Apache-2.0项目地址:https://gitee.com/cjlgb/cjlgb-cloud-platform项目简介基于 Spring Cloud Hoxton 、Spring Boot 2.2、 OAuth2 的RBAC权限管理系统基于数据驱动视图的理念封装 Ant Design Vue,即使没有 vue ...
rbac权限管理5张表_【资源】尚硅谷 RBAC权限管理系统实战开发
weixin_39831567的博客
12-06 336
关注↑↑↑我们获得更多精彩瞬间《尚硅谷RBAC权限管理系统实战开发》:一个很难得的实战教程,这讲授RBAC权限模型的设计、以及在项目中的应用,完整覆盖权限管理系统开发技术。学完本课程你将可以轻松应对绝大多数企业开发中与权限管理及后台系统相关的需求。网盘空间有限,资料一直有效,视频下载链接会被删除,到时候请去B站查看,留言区会有直达链接。谢谢理解。看一看本期资料包含视频和源码,资源来自于网...
基于Django和Vue的RBAC权限控制后台管理系统源码
最新发布
03-25
项目概述:本源码为基于角色基础访问控制RBAC)模型的中小型应用开发平台,采用前后端分离架构。后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过...
基于角色访问控制模型(RBAC
10-12
访问控制是信息安全领域的重要组成部分,它涉及到对信息系统资源的访问权限管理和控制。传统的访问控制策略包括自主访问控制(DAC)和强制访问控制(MAC)。随着信息技术的发展,尤其是大型组织和复杂系统的出现,...
pig-ui_RBAC权限管理系统_Avue_pig-ui_微服务_pigui_
09-29
基于 Spring Cloud Hoxton 、Spring Boot 2.3、 OAuth2 的RBAC权限管理系统基于数据驱动视图的理念封装 element-ui,即使没有 vue 的使用经验也能快速上手提供对常见容器化支持 Docker、Kubernetes、Rancher2 支持...
Spring Security实现RBAC权限管理_RBAC_spring_spring security_springclou
09-24
在企业应用中,认证和授权是非常重要的一部分内容,业界最出名...由于Spring Boot非常的流行,选择Spring Security做认证和授权的 人越来越多,今天我们就来看看用Spring 和 Spring Security如何实现基于RBAC权限管理
rbac.rar_JAVA 系统_RBAC_s2sh_ui_权限管理系统
09-23
本文将详细解析基于S2SH(Struts2、Spring、Hibernate)框架实现的RBAC(Role-Based Access Control,基于角色访问控制权限管理系统,以及其UI优化。 **1. RBAC模型** RBAC模型是一种有效的权限管理模式,它的...
一个通用的权限管理模型的设计方案
04-04
一个通用的权限管理模型的设计方案一个通用的权限管理模型的设计方案一个通用的权限管理模型的设计方案
calico-rbac-kdd.yaml
05-25
calico的配置文件,用于博客内容的超链接。calico的配置文件,用于博客内容的超链接。 。calico的配置文件,用于博客内容的超链接。calico的配置文件,用于博客内容的超链接。 。calico的配置文件,用于博客内容的超链接。calico的配置文件,用于博客内容的超链接。 。
rbac权限管理5张表_Laravel5实现RBAC权限管理
weixin_39635648的博客
12-05 396
学习php,你就要学会一门框架教程,以后在工作上,基本都是用框架来驰骋你的PHP世界与领域,所以掌握一门框架是很重要的。据调查,现在用框架最多的就属ThinkPHP5 和Laravel5,Yii2.。。。PHP自学中心公众号会分享一下框架文章教程,有需要的可以和小编一起来学习。以下是正文根据不同的权限,在菜单栏显示不同的功能,只对菜单进行了限制,若对路由也进行限制,可以根据菜单的例子,请自行完善,...
rbac权限管理5张表_5.第五章 账号和权限管理
weixin_39883129的博客
11-26 259
第五章 账号和权限管理1、Linux的账户①root:超级用户 id为0 宿主目录 /root②普通用户:手工创建 id为1000~60000 宿主目录/home/用户名③程序用户:安装程序产生的帐户 id为1~999 一般不能登陆 Linux组账户: 基本组(私有组):主组,用户最多一个基本组,不可删除 ...
rbac权限管理5张表_不用权限框架,基于 Spring Boot 2.x 构建一个最基础的权限系统...
weixin_39928003的博客
12-05 447
本项目是使用SpringBoot2构建的一套基于RBAC权限模型的后台管理系统,前端是微信小程序。项目地址:https://github.com/fuyunwang/DrivingAgency项目的缘由最近接了个外包,主要是针对于驾校开发一个代理小程序。目的是为了方便驾校的管理来招揽学员,同时方便维护学员和代理信息。项目介绍项目业务功能介绍本项目的业务需求比较少,是一个传统项目,核心的业务点是权限...
SqlServer-RBAC五表权限
weixin_30666943的博客
11-22 292
这只是一个精简的SqlServer-RBAC五表权限,根据自身需求修改即可 --创建数据库-权限CREATE DATABASE RBACGOUSE RBACGO --1、权限表CREATE TABLE t_permission ( id INT PRIMARY KEY IDENTITY, name varchar(20) NOT NULL, [description] varchar...
rbac权限管理5张表_thinkphp框架下基于rbac的后台程序
weixin_39843215的博客
11-22 236
最近接了一个小项目,给一家车辆运营管理的公司做一个小的后台管理程序(说是推进无纸化办公模式)。项目的情况是,根据不同部门,不同权限的员工给予不同的操作许可。增加实时录入功能(搭配移动端使用)。像这种根据不同部门,不同权限的设置要求,建议就是直接使用RBAC的方式,当然还有AUTH方式可以使用(这里我直接用的是RBAC的方式)。什么是RBAC权限方式呢?RBAC 是基于角色访问控制(Role-Ba...
【Django】RBAC权限管理系统模块-理解
Allen . Liu
10-05 2048
今天文章分为两部分 :) PART1Pycharm使用技巧分享/ PART2 关于剑指offer开源项目分享 //// //// One MinutesPycharm: PART 1 你本可以朝九晚五..... 本片内容分享的宗旨: IDEA 从入门到精通 开发效率翻倍 早日实现五点下班???? PyCharm这款IDE功能虽然强大,但正因为它的强大,所以对于刚入手的人来说,在初期使用时会显得困难。今天这篇文章我就来写一下PyCharm的基本操作,让...
rbac权限管理5张表_权限管理(RBAC),不会的了解一下
weixin_39570838的博客
12-04 4393
在说权限管理前,应该先知道权限管理要有哪些功能:  (1)、用户只能访问,指定的控制器,指定的方法  (2)、用户可以存在于多个用户组里  (3)、用户组可以选择,指定的控制器,指定的方法   (4)、可以添加控制器和方法RBAC(Role-Based Access Control,基于角色访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值