K8s(13)——kubernetes之kubernetes访问控制

最新推荐文章于 2023-06-12 16:03:36 发布
最新推荐文章于 2023-06-12 16:03:36 发布
阅读量512 收藏
点赞数
分类专栏: doker容器管理神器 kubernetes的学习 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41191813/article/details/114283337
版权

文章目录

1、介绍

在这里插入图片描述
在这里插入图片描述

2、 Authentication(认证)

  • 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。

  • Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。

UserAccount与serviceaccount:

  • 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。

  • 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。

  • 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

2.1 serviceaccount(sa)

1.创建serviceaccount(sa)
$ kubectl create serviceaccount admin
serviceaccount/admin created
  
$ kubectl describe sa admin             //此时k8s为用户自动生成认证信息,但没有授权
Name:                admin
Namespace:           default
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   admin-token-6xfpp
Tokens:              admin-token-6xfpp
Events:              <none>

2.添加secrets到serviceaccount中
$ kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

3.把serviceaccount和pod绑定起来:
[root@server2 ~]# cat pod3.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
    - name: game2048
      image: reg.westos.org/westos/game2048
  #imagePullSecrets:
  #  - name: myregistrykey
  serviceAccountName: admin
  
[root@server2 ~]# kubectl apply  -f pod3.yaml 

将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多。

2.2 UserAccount

4.创建UserAccount:
[root@server2 ~]# cd /etc/kubernetes/pki/
[root@server2 ~]# openssl genrsa -out test.key 2048
[root@server2 ~]# openssl req -new -key test.key -out test.csr -subj "/CN=test"
[root@server2 ~]# openssl  x509 -req -in test.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out test.crt -days 365
[root@server2 ~]# openssl x509 -in test.crt -text -noout  #查看证书内容

[root@server2 ~]# kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true	
[root@server2 ~]# kubectl  config view
[root@server2 ~]# kubectl config set-context test@kubernetes --cluster=kubernetes --user=test
[root@server2 ~]# kubectl config use-context test@kubernetes

[root@server2 ~]# kubectl  get pod
Error from server (Forbidden): pods is forbidden: User "test" cannot list resource "pods" in API group "" in the namespace "default"

此时用户通过认证,但还没有权限操作集群资源,需要继续添加授权。

在这里插入图片描述

在这里插入图片描述

3、 授权

基于角色访问控制授权

  • 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联。
  • RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可。
  • RBAC包括四种类型:Role、ClusterRole、RoleBinding、ClusterRoleBinding。

在这里插入图片描述

3.0 RBAC(Role Based Access Control)(最重要,以此为例)

RBAC的三个基本概念:

  • Subject:被作用者,它表示k8s中的三类主体, user, group, serviceAccount
  • Role:角色,它其实是一组规则,定义了一组对 Kubernetes API 对象的操作权限。
  • RoleBinding:定义了“被作用者”和“角色”的绑定关系。

Role 和 ClusterRole

  • Role是一系列的权限的集合,Role只能授予单个namespace 中资源的访问权限。
  • ClusterRole 跟 Role 类似,但是可以在集群中全局使用。

3.1 Role与Role绑定

1. 创建 role
kubectl config view   ##查看用户
kubectl config use-context kubernetes-admin@kubernetes  ## 切换用户
[root@server2 ~]# mkdir rbac
[root@server2 ~]# cd rbac/
[root@server2 rbac]# vim role.yaml
[root@server2 rbac]# kubectl apply -f role.yaml 

[root@server2 rbac]# cat role.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: myrole
rules:
- apiGroups: [""] 
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]

[root@server2 rbac]# kubectl describe role myrole 
Name:         myrole
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  pods       []                 []              [get watch list create update patch delete]


2. Role绑定
[root@server2 rbac]# vim role.yaml

[root@server2 rbac]# kubectl apply -f role.yaml
[root@server2 rbac]# kubectl get rolebindings.rbac.authorization.k8s.io 
NAME             ROLE          AGE
test-read-pods   Role/myrole   34s
[root@server2 rbac]# kubectl describe rolebindings.rbac.authorization.k8s.io 
[root@server2 rbac]# kubectl config use-context test@kubernetes 

[root@server2 rbac]# kubectl get pod      ## 此时有权利访问pod
NAME    READY   STATUS    RESTARTS   AGE
demo    1/1     Running   1          4h49m
mypod   1/1     Running   0          58m

在这里插入图片描述
在这里插入图片描述

3.2 ClusterRole与RoleBinding

ClusterRole示例
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: myclusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]



使用rolebinding绑定clusterRole:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebind-myclusterrole
  namespace:  default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

在这里插入图片描述

3.3 ClusterRole与ClusterRoleBinding

创建clusterrolebinding:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: clusterrolebinding-myclusterrole
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

在这里插入图片描述

3.4 补充

Kubernetes 还拥有“用户组”(Group)的概念:
ServiceAccount对应内置“用户”的名字是:
system:serviceaccount:<ServiceAccount名字 >

而用户组所对应的内置名字是:
system:serviceaccounts:<Namespace名字 >

示例1:表示mynamespace中的所有ServiceAccount

subjects:
- kind: Group
  name: system:serviceaccounts:mynamespace
  apiGroup: rbac.authorization.k8s.io

示例2:表示整个系统中的所有ServiceAccount

subjects:
- kind: Group
  name: system:serviceaccounts
  apiGroup: rbac.authorization.k8s.io

Kubernetes 还提供了四个预先定义好的 ClusterRole 来供用户直接使用:

  • cluster-amdin
  • admin
  • edit
  • view

示例:(最佳实践)

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: readonly-default
subjects:
- kind: ServiceAccount
  name: default
  namespace: default
roleRef:
  kind: ClusterRole
  name: view
  apiGroup: rbac.authorization.k8s.io

4、尝试理解文档

[root@server2 nfs-client]# cat nfs-client-provisioner.yaml 
apiVersion: v1
kind: ServiceAccount
metadata:
  name: nfs-client-provisioner
  # replace with namespace where provisioner is deployed
  namespace: nfs-client-provisioner
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: nfs-client-provisioner-runner
rules:
  - apiGroups: [""]
    resources: ["persistentvolumes"]
    verbs: ["get", "list", "watch", "create", "delete"]
  - apiGroups: [""]
    resources: ["persistentvolumeclaims"]
    verbs: ["get", "list", "watch", "update"]
  - apiGroups: ["storage.k8s.io"]
    resources: ["storageclasses"]
    verbs: ["get", "list", "watch"]
  - apiGroups: [""]
    resources: ["events"]
    verbs: ["create", "update", "patch"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: run-nfs-client-provisioner
subjects:
  - kind: ServiceAccount
    name: nfs-client-provisioner
    # replace with namespace where provisioner is deployed
    namespace: nfs-client-provisioner
roleRef:
  kind: ClusterRole
  name: nfs-client-provisioner-runner
  apiGroup: rbac.authorization.k8s.io
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: leader-locking-nfs-client-provisioner
  # replace with namespace where provisioner is deployed
  namespace: nfs-client-provisioner
rules:
  - apiGroups: [""]
    resources: ["endpoints"]
    verbs: ["get", "list", "watch", "create", "update", "patch"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: leader-locking-nfs-client-provisioner
  # replace with namespace where provisioner is deployed
  namespace: nfs-client-provisioner
subjects:
  - kind: ServiceAccount
    name: nfs-client-provisioner
    # replace with namespace where provisioner is deployed
    namespace: nfs-client-provisioner
roleRef:
  kind: Role
  name: leader-locking-nfs-client-provisioner
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: nfs-client-provisioner
  labels:
    app: nfs-client-provisioner
  # replace with namespace where provisioner is deployed
  namespace: nfs-client-provisioner
spec:
  replicas: 1
  strategy:
    type: Recreate
  selector:
    matchLabels:
      app: nfs-client-provisioner
  template:
    metadata:
      labels:
        app: nfs-client-provisioner
    spec:
      serviceAccountName: nfs-client-provisioner
      containers:
        - name: nfs-client-provisioner
          image: nfs-subdir-external-provisioner:v4.0.0
          volumeMounts:
            - name: nfs-client-root
              mountPath: /persistentvolumes
          env:
            - name: PROVISIONER_NAME
              value: k8s-sigs.io/nfs-subdir-external-provisioner
            - name: NFS_SERVER
              value: 172.25.200.1
            - name: NFS_PATH
              value: /nfsdata
      volumes:
        - name: nfs-client-root
          nfs:
            server: 172.25.200.1
            path: /nfsdata
---
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: managed-nfs-storage
provisioner: k8s-sigs.io/nfs-subdir-external-provisioner
parameters:
  archiveOnDelete: "true"
玻璃酸钠滴眼液
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
从零开始学习K8s系列——Kubernetes指南
禅与计算机程序设计艺术
07-31 1650
Kubernetes(简称k8s)是一个开源的,用于自动部署、扩展和管理容器化的应用的平台。服务发现和负载均衡:Kubernetes集群中的服务能够自动地寻找其他运行着的服务并进行负载均衡。存储编排:Kubernetes允许用户声明性地请求持久化存储,这样就不需要运维人员手动配置存储。自我修复:当节点发生故障时,Kubernetes会在另一个可用节点上重建Pod。自动扩容:Kubernetes可以自动地根据CPU、内存或其他资源的使用情况来扩展集群中的节点。
【k8s】——Kubernetes知识盘点
01-20
目录 1.前言 2.基本概念 3.高可用集群 4.组件之间的关系图 5.Service介绍 5.1.1.1.什么是Service 5.1.1.2.Service的创建 5.1.1.3.检测服务 5.1.1.4.在运行的容器中远程执行命令 5.2.连接集群外部的服务 ...5.4.2.通过I
Kubernetes RBAC (Role-Based Access Control)
weixin_34309435的博客
12-12 141
基于角色访问控制RBAC基于角色的访问控制(“RBAC”)使用rbac.authorization.k8s.ioAPI组来驱动授权决策,允许管理员通过Kubernetes API动态配置策略。从Kubernetes 1.8开始,RBAC进入稳定版,其API为rbac.authorization.k8s.io/v1要启用RBAC,请启动apiserver --authoriza...
kubernetes访问控制
weixin_43834060的博客
07-06 245
一、简介 kubernetes API 访问控制主要分为三个部分: 认证 授权 准入控制 Authentication(认证) • 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再 进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 • Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和 (Users Accounts) 普通账户。k8s中账号的概
k8s资源清单注解大全
zhang2319的博客
06-12 641
k8s资源清单注解大全。看这一篇就够了
K8s RBAC使用
tamako0v0的博客
07-23 728
1.RBAC简介 1.1 基本概念   RBAC(Role-Based Access Control,基于角色的访问控制)在k8s v1.5中引入,在v1.6版本时升级为Beta版本,相对于其他访问控制方式,RBAC具有如下优势: 对集群中的资源和非资源权限均有完整的覆盖 整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kubectl或API进行操作 可以在运行时进行调整,无需重启API Server 要使用RBAC授权模式,需要在API Server的启动参数...
k8s学习笔记-安全机制
weixin_37703162的博客
11-27 440
k8s安全机制   k8s集群中,API server是集群内部各个组件通信的中介,也是外部控制的入口,所以其安全机制也是围绕保护API server来设计的。k8s使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API server的安全。 Authentication: HTTP Token 认证:通过一个 Token 来识别合法用户 HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串 -
k8s——Kubernetes-RBAC基于角色的访问控制
weixin_55985097的博客
07-27 825
kubernetes-RBAC 一:RBAC详解 RBAC基于角色的访问控制 Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权,在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版起,Kubernetes 默认启用RBAC访问控制策略。 从1.8开始,RBAC
k8s——kubernetes 部署dashboard
m0_47161295的博客
10-09 633
1.dashboard概述 在 Kubernetes 社区中,有一个很受欢迎的 Dashboard 项目,它可以给用户提供一个可视化的 Web 界面来查看当前集群的各种信息。用户可以用 Kubernetes Dashboard 部署容器化的应用、监控应用的状态、执行故障排查任务以及管理 Kubernetes 各种资源。 2.部署dashboard实验 1.实验环境 多节点k8s,master01,node01,node02 2. 实验目的 通过搭建的dashboard来通过web界面直观显示参数 3.实验步
k8s——Kubernetes配置yaml文件详解
weixin_55985097的博客
07-25 4068
Kubernetes配置yaml文件 一:Yaml文件详解 1.介绍 YAML是专门用来写配置文件的语言,非常简洁和强大,使用比json更方便。它实质上是一种通用的数据串行化格式。 kubernetes中用来定义YAML文件创建Pod和创建Deployment等资源。 2.使用YAML用于K8s的定义的好处 便捷性: 不必添加大量的参数到命令行中执行命令 可维护性:YAML文件可以通过源头控制,跟踪每次操作 灵活性: YAML可以创建比命令行更加复杂的结构 3.YAML语法规则 大小写敏感 使用缩
【K8s】—— Kubernetes是什么?
热门推荐
07-08 4万+
什么是K8s?
k8s(kubernetes)相关重要知识点运维笔记——详细文档
06-21
k8s(kubernetes)相关重要知识点运维笔记——详细文档
Docker 与 K8S学习笔记(二十三)—— Kubernetes集群搭建.doc
07-12
Docker 与 K8S学习笔记(二十三)—— Kubernetes集群搭建.doc
Kubernetes、K8s运维架构师实战集训营
03-07
给大家分享一套课程——Kubernetes、K8s运维架构师实战集训营,中高级第六期,2021年12月结课。 课程目录: 第1章 开班仪式 第2章 赠送录播:搭建一个完整企业级K8s集群(二进制) 第3章 Kubernetes 运维管理 第4章...
K8s(11)——kubernetes之存储管理-PV和PVC以及StorageClass动态分配详解加StatefulSet的应用
Ghost_0110
03-03 1192
文章目录1、认识PV/PVC/StorageClass1.1 介绍2、PV和PVC3、动态卷 1、认识PV/PVC/StorageClass 1.1 介绍 管理存储是管理计算的一个明显问题。该PersistentVolume子系统为用户和管理员提供了一个API,用于抽象如何根据消费方式提供存储的详细信息。为此,我们引入了两个新的API资源:PersistentVolume和PersistentVolumeClaim PersistentVolume(PV)是集群中由管理员配置的一段网络存储。 它是集群中.
K8s(7)——kubernetes之网络篇-metallb,calico,网络策略
Ghost_0110
02-26 1109
文章目录前言1、 前言 1、
K8s(15)——kuberneteskubernetes资源监控(Metrics-Server,Dashboard,HPA)
Ghost_0110
03-04 1008
文章目录1、Metrics-Server部署1.1 APIService Service Pod kubelet关系2、Metrics-Server部署常见问题解决2.1 错误12.2 报错22.3 报错3:3、Dashboard部署4、Horizontal Pod Autoscaler 演练4.1 创建 Horizontal Pod Autoscaler4.2 基于多项度量指标和自定义度量指标自动扩缩 1、Metrics-Server部署 Metrics-Server是集群核心监控数据的聚合器,用.
k8s 部署kubernetes
最新发布
07-15
要在Kubernetes上部署Kubernetes集群,您可以按照以下步骤进行操作: 1. 安装D:确保您的机器上已经安装了Docker引擎,Kubernetes需要使用它来运行容器。 2. 安装Kubectl:Kubectl是Kubernetes的命令行工具,用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值