网页限制用户访问机器_K8S权限控制,限制用户在特定namespace上的访问权限

最新推荐文章于 2023-02-07 15:34:52 发布
最新推荐文章于 2023-02-07 15:34:52 发布
阅读量388 收藏
点赞数
文章标签: 网页限制用户访问机器

前言

42a2b1c95b06e61eea0dbbb840f9f990.png

K8S

kubernetes应用越来越广泛,我们kubernetes集群中也会根据业务来划分不同的命名空间,随之而来的就是安全权限问题,我们不可能把集群管理员账号分配给每一个人,有时候可能需要限制某用户对某些特定命名空间的权限,比如开发和测试人员也可能需要登录集群,了解应用的运行情况,查看pod的日志,甚至是修改某些配置。这时候,我们可以通过创建受限的kubeconfig文件,将该config分发给有需要的人员,让他们能通过kubectl命令实现一些允许的操作。

创建集群级别的角色 ClusterRole

clusterrole.dev-log.yaml 用于提供对pod的完全权限和其它资源的查看权限。

# 提供基本权限apiVersion: rbac.authorization.k8s.io/v1beta1kind: ClusterRolemetadata:  name: dev-logrules:- apiGroups:  - ""  resources:  - pods  - pods/exec  verbs:  - create  - get  - list  - watch- apiGroups:  - ""  resources:  - pods  verbs:  - delete- apiGroups:  - ""  resources:  - endpoints  - services  verbs:  - get  - list  - watch- apiGroups:  - ""  resources:  - bindings  - events  - limitranges  - namespaces/status  - pods/log  - pods/status  - replicationcontrollers/status  - resourcequotas  - resourcequotas/status  verbs:  - get  - list  - watch- apiGroups:  - ""  resources:  - namespaces  verbs:  - get  - list  - watch- apiGroups:  - apps  resources:  - deployments  - deployments/rollback  - deployments/scale  - statefulsets  verbs:  - get  - list  - watch- apiGroups:  - autoscaling  resources:  - horizontalpodautoscalers  verbs:  - get  - list  - watch- apiGroups:  - batch  resources:  - cronjobs  - jobs  - scheduledjobs  verbs:  - get  - list  - watch- apiGroups:  - extensions  resources:  - daemonsets  - deployments  - ingresses  - replicasets  verbs:  - get  - list  - watch

在default命名空间应用配置文件:

$ kubectl apply -f clusterrole.dev-log.yaml -n default$ kubectl get ClusterRole -n default

在default命名空间创建 ServiceAccount

创建ServiceAccount后,会自动创建一个绑定的 secret ,后面在kubeconfig文件中,会用到该secret中的token。

$ kubectl create serviceaccount dev -n default$ kubectl get serviceaccount -n default

对ServiceAccount和集群角色建立绑定关系

对需要的namespace进行授权,以下示例为对app命名空间授权。

$ kubectl create rolebinding rbd-dev --clusterrole=dev-log --serviceaccount=default:dev --namespace=app

获取ServiceAccount的secret中的token

$ kubectl get serviceaccounts dev -o yamlapiVersion: v1kind: ServiceAccountmetadata:  creationTimestamp: "2020-06-03T06:36:29Z"  name: dev  namespace: app  resourceVersion: "2633621"  selfLink:xxx  uid: xxsecrets:- name: dev-token-v97rh

对应的secret名称为:dev-token-v97rh。

$ kubectl get secrets dev-token-v97rh -o yamlapiVersion: v1data:  ca.crt: xxxnamespace: aGFkb29wtoken:  xxxkind: Secretmetadata:  annotations:    kubernetes.io/service-account.name: dev    kubernetes.io/service-account.uid: xxx  creationTimestamp: "2020-06-03T06:36:29Z"  name: dev-token-v97rh  namespace: app  resourceVersion: "2633620"  selfLink: xxx  uid:xxxtype: kubernetes.io/service-account-token

该secret的token为:token=xxx

该token是经过base64处理的,需要进行解码处理。

$ echo $token | base64 -dxxx

组装config文件

将token填充到以下的config配置中:

# configapiVersion: v1kind: Configclusters:- cluster:    server: K8S集群地址    certificate-authority-data: "ca.crt后的内容"  name: k8s-devusers:- name: "devlog"  user:    token: "解码后的token字符串"contexts:- context:    cluster: dev    user: "dev"  name: devpreferences: {}current-context: dev

将该文件保存为config 并放入 $HOME/.kube/ 目录下即可。

至此,k8s限制用户在多个namespace上的访问权限操作完成。

后记

K8S权限控制是很复杂的,本文只是最简单的一种,因为工作需要,做个记录。后面有其他的需求再做补充。

weixin_39933082
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S中的命名空间
叱咤少帅的博客
08-04 798
namespace
K8S创建用户账号User Account并赋予权限
06-12
K8S创建用户账号User Account并赋予权限
K8S用户权限管理工具permission-manager-v1.6.0
12-13
原文链接:https://blog.csdn.net/m0_37814112/article/details/121826977
k8s实践(5)k8s的命名空间Namespace
热门推荐
黄规速博客:学如逆水行舟,不进则退
06-11 2万+
1、什么是Namespace? 你可以认为namespaces是你kubernetes集群中的虚拟化集群。在一个Kubernetes集群中可以拥有多个命名空间,它们在逻辑上彼此隔离。 他们可以为您和您的团队提供组织,安全甚至性能方面的帮助! “default” Namespace 大多数的Kubernetes中的集群默认会有一个叫default的namespace。实际上,应该是3个: d...
K8S基础概念和实践
weixin_46183830的博客
04-27 281
虚拟化技术 虚拟化技术是一种资源管理技术,将计算机硬件抽象。 Docker 技术是基于 LXC(Linux container- Linux 容器)虚拟容器技术的。 LXC 技术主要是借助 Linux 内核中提供的 CGroup 功能和 namespace 来实现的,通过 LXC 可以为软件提供一个独立的操作系统运行环境。 CGroup:是 Linux 内核提供的一种可以限制、记录、隔离进程组所使用的物力资源 的机制 namespace 是 Linux 内核用来隔离内核资源的方式。 cgroup 和 nam
Invalid bound statement(not found)解决方法汇总
weixin_52254591的博客
08-16 2580
resource创建多层嵌套的文件夹不能使用aa.bb的格式,如果使用打点的话,创建出来的文件夹只有一个且名称为aa.bb。
Kubernetes RBAC 为指定用户授权访问不同命名空间权限
小楼一夜听春雨,深巷明朝卖杏花
01-18 6908
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
k8s学习-网络策略NetworkPolicy(概念、模版、创建、删除等)
关注网络安全、云原生安全
09-11 2498
3.(Egress 规则)允许 “default” 命名空间中任何带有标签 “role=db” 的 Pod 到 CIDR 10.0.0.0/24 下 5978 TCP 端口的连接。k8s的命名空间是没有强制隔离性的,访问service时加上.namespace的名称即可。:此选择器将选择特定的名字空间,应将所有 Pod 用作其入站流量来源或出站流量目的地。k8s的Pod是没有隔离行的,任意命名空间下的Pod可以访问任意命名空间下的Pod。的 to/from 条目选择特定名字空间中的特定 Pod。
Kubernetes详解(五十二)——Kubernetes访问控制
永远是少年
05-10 612
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes访问控制 一、Kubernetes授权简介 二、RBAC简介
K8s部署JeecgBoot微服务-编写资源清单文件
William_Franca的博客
02-07 575
【代码】K8s部署JeecgBoot微服务-编写资源清单文件。
cloud-运维平台_k8s_k8s运维平台_cloud_
09-30
k8s的运维平台,helm模板自动化生成,自动化部署
k8s-test_java和k8s_k8s环境日常_k8s_
09-30
介绍了如何通过JAVA来进行K8S环境的日常操作和运维
Ladon以指定用户权限运行程序或命令_K8哥哥1
08-03
前言Ladon内置Runas允许用户用其他权限运行指定的工具和程序。系统自带Runas命令需要交互式登陆,在webshell或不支持交互式的shell下使用麻烦
K8S权限控制限制用户在多个namespace上的访问权限
麦迪康
01-13 1981
参考: https://www.cnblogs.com/aresxin/p/k8s-sc.html https://blog.csdn.net/ljx1528/article/details/85226422 遇到的问题: Error from server (Forbidden): deployments.apps is forbidden: User "system:serviceaccount:default:dev" cannot create resource "deployments" in A
k8s 分给某个用户只有指定命名空间权限
风.foxwho(神秘狐)
06-10 1455
用户,只有 命名空间权限用户名为: 保存为 执行命令 查看是否创建成功 输出 在 test 命名空间创建 role 创建角色: 保存为 执行命令 查看是否创建成功 输出 在 test 命名空间创建 人员角色关系 rolebinding 保存为 执行命令 查看是否创建成功 输出......
原创丨Kubernetes 如何只授予某一 Namespace访问权限
静觅
08-03 1343
“ 阅读本文大概需要 3 分钟。 ”最近遇到一个问题,那就是需要给别人共享一下 Kubernetes 的某个资源的使用和访问权限,这个仅仅存在于某个 namespace 下,但是我又不能...
jeecg-boot微服务部署步骤详细说明
qq_40015409的博客
09-15 4026
通常小企业是如何成长起来的?接外包,然后将公司慢慢的养起来,最后开始研发自己的产品,产品上线,上市!哈哈,可能有点理想化了,但是身边好多朋友都自己出去创业了,今儿个张三开了个公司,明儿个李四也注册了个公司,但是了解了下,大家刚开始都是靠外包起步,有资源的利用资源,没有资源的找资源。那么问题来了,作为一个外包公司,最重要的干活的效率,将时间就是金钱提现的淋漓尽致。所以在写项目的时候,定是怎么方便怎么来,能ctrl+c,v的绝对不会自己写。
kubernetes Network Policies(网络策略) 之 限制其他命名空间的pod访问本命名空间的pod
mumucgq的博客
08-15 2062
1、规则描述: 希望达到的效果: 1.命名空间default下的所有pod,可以互相访问 2.禁止非default命名空间下的pod访问default命名空间下的pod 如下图所示: 2、使用镜像准备: 下载Nginx镜像 docker pull nginx 编写Dockerfile(添加wget) FROM nginx RUN apt-get update RUN apt-get instal...
人工智能导论大学生期末复习测试题
最新发布
06-07
人工智能导论大学生期末复习测试题
centos 将k8s目录的权限给k8s这个用户
07-14
2. 授予k8s用户对k8s目录的访问权限。假设k8s目录的路径是`/path/to/k8s`,可以运行以下命令授予k8s用户对该目录的读写权限: ``` sudo chown -R k8s:k8s /path/to/k8s ``` 这将把k8s目录的所有者和组都设置为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值