TiDB Operator 需要的 RBAC 规则

于 2022-07-12 12:14:48 发布
阅读量123 收藏 1
点赞数 1
文章标签: 大数据 数据库 数据库架构 数据库开发 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42241611/article/details/125740539
版权

Kubernetes 基于角色的访问控制 (RBAC) 规则是通过 Role 或者 ClusterRole 来进行管理的,并通过 RoleBinding 或 ClusterRoleBinding 将其权限赋予一个或者一组用户。

Cluster 级别管理 TiDB 集群

部署 TiDB Operator 时默认设置了 clusterScoped=true,TiDB Operator 能管理 Kubernetes 集群内所有 TiDB 集群。

要查看为 TiDB Operator 创建的 ClusterRole,请使用以下命令:

 

kubectl get clusterrole | grep tidb 
 

输出结果如下:
 

 

tidb-operator:tidb-controller-manager 2021-05-04T13:08:55Z tidb-operator:tidb-scheduler 2021-05-04T13:08:55Z 
 

其中:
 

  • tidb-operator:tidb-controller-manager 是为 tidb-controller-manager Pod 创建的 ClusterRole。
  • tidb-operator:tidb-scheduler 是为 tidb-scheduler Pod 创建的 ClusterRole。
 

tidb-controller-manager ClusterRole 权限
 

以下表格列出了 tidb-controller-manager ClusterRole 对应的权限。
 

资源非资源 URLs资源名动作解释
events--[*]输出 Event 信息
services--[*]操作 Service 资源
statefulsets.apps.pingcap.com/status--[*]AdvancedStatefulSet=true 时,需要操作此资源,详细信息可以参考增强型 StatefulSet 控制器
statefulsets.apps.pingcap.com--[*]AdvancedStatefulSet=true 时,需要操作此资源,详细信息可以参考增强型 StatefulSet 控制器
controllerrevisions.apps--[*]Kubernetes StatefulSet/Daemonset 版本控制
deployments.apps--[*]操作 Deployment 资源
statefulsets.apps--[*]操作 Statefulset 资源
ingresses.extensions--[*]操作监控系统 Ingress 资源
*.pingcap.com--[*]操作 pingcap.com 下所有自定义资源
configmaps--[create get list watch update delete]操作 ConfigMap 资源
endpoints--[create get list watch update delete]操作 Endpoints 资源
serviceaccounts--[create get update delete]为 TidbMonitor/Discovery 服务创建 ServiceAccount
clusterrolebindings.rbac.authorization.k8s.io--[create get update delete]为 TidbMonitor 服务创建 ClusterRoleBinding
rolebindings.rbac.authorization.k8s.io--[create get update delete]为 TidbMonitor/Discovery 服务创建 RoleBinding
secrets--[create update get list watch delete]操作 Secret 资源
clusterroles.rbac.authorization.k8s.io--[escalate create get update delete]为 TidbMonitor 服务创建 ClusterRole
roles.rbac.authorization.k8s.io--[escalate create get update delete]为 TidbMonitor/Discovery 服务创建 Role
persistentvolumeclaims--[get list watch create update delete patch]操作 PVC 资源
jobs.batch--[get list watch create update delete]TiDB 集群初始化、备份、恢复操作使用 Job 进行
persistentvolumes--[get list watch patch update]为 PV 添加集群信息相关 Label、修改 persistentVolumeReclaimPolicy 等操作
pods--[get list watch update delete]操作 Pod 资源
nodes--[get list watch]读取 Node Label 并根据 Label 信息为 TiKV、TiFlash 设置 Store Label
storageclasses.storage.k8s.io--[get list watch]扩展 PVC 存储之前确认 StorageClass 是否支持 VolumeExpansion
-[/metrics]-[get]读取监控指标
 

注意
 

  • 非资源 URLs 列中, - 表示该项没有非资源 URLs。
  • 资源名列中, - 表示该项没有资源名。
  • 动作列中,* 表示支持 Kubernetes 集群支持的所有动作。
 

tidb-scheduler ClusterRole 权限
 

以下表格列出了 tidb-scheduler ClusterRole 对应的权限。
 

资源非资源 URLs资源名动作解释
leases.coordination.k8s.io--[create]Leader 选举需要创建 Lease 资源锁
endpoints--[delete get patch update]操作 Endpoints 资源
persistentvolumeclaims--[get list update]读取 PD/TiKV PVC 信息,更新调度信息到 PVC Label
configmaps--[get list watch]读取 ConfigMap 资源
pods--[get list watch]读取 Pod 信息
nodes--[get list]读取 Node 信息
leases.coordination.k8s.io-[tidb-scheduler][get update]Leader 选举需要读取/更新 Lease 资源锁
tidbclusters.pingcap.com--[get]读取 Tidbcluster 信息
 

注意
 

  • 非资源 URLs 列中, - 表示该项没有非资源 URLs。在资源名列中, - 表示该项没有资源名。
 

Namespace 级别管理 TiDB 集群
 

如果部署 TiDB Operator 时设置了 clusterScoped=false, TiDB Operator 将在 Namespace 级别管理 TiDB 集群。
 

  •  
    要查看为 TiDB Operator 创建的 ClusterRole,请使用以下命令:
     
     
    kubectl get clusterrole | grep tidb 
     
    输出结果如下:
     
     
    tidb-operator:tidb-controller-manager 2021-05-04T13:08:55Z 
     
    tidb-operator:tidb-controller-manager 是为 tidb-controller-manager Pod 创建的 ClusterRole。
     
    注意
     
    如果部署 TiDB Operator 时已设置 controllerManager.clusterPermissions.nodescontrollerManager.clusterPermissions.persistentvolumescontrollerManager.clusterPermissions.storageclasses 都为 false,则不会创建该 ClusterRole。
     
  •  
    要查看为 TiDB Operator 创建的 Role,请使用以下命令:
     
     
    kubectl get role -n tidb-admin 
     
    输出结果如下:
     
     
    tidb-admin tidb-operator:tidb-controller-manager 2021-05-04T13:08:55Z tidb-admin tidb-operator:tidb-scheduler 2021-05-04T13:08:55Z 
     
    其中:
     
  
    • tidb-operator:tidb-controller-manager 是为 tidb-controller-manager Pod 创建的 Role。
    • tidb-operator:tidb-scheduler 是为 tidb-scheduler Pod 创建的 Role。
 

tidb-controller-manager ClusterRole 权限
 

以下表格列出了 tidb-controller-manager ClusterRole 对应的权限。
 

资源非资源 URLs资源名动作解释
persistentvolumes--[get list watch patch update]为 PV 添加集群信息相关 Label、修改 persistentVolumeReclaimPolicy 等操作
nodes--[get list watch]读取 Node Label 并根据 Label 信息为 TiKV、TiFlash 设置 Store Label
storageclasses.storage.k8s.io--[get list watch]扩展 PVC 存储之前确认 StorageClass 是否支持 VolumeExpansion
 

注意
 

  • 非资源 URLs 列中, - 表示该项没有非资源 URLs。
  • 资源名列中, - 表示该项没有资源名。
 

tidb-controller-manager Role 权限
 

以下表格列出了 tidb-controller-manager Role 对应的权限。
 

资源非资源 URLs资源名动作解释
events--[*]输出 Event 信息
services--[*]操作 Service 资源
statefulsets.apps.pingcap.com/status--[*]AdvancedStatefulSet=true 时,需要操作此资源,详细信息可以参考增强型 StatefulSet 控制器
statefulsets.apps.pingcap.com--[*]AdvancedStatefulSet=true 时,需要操作此资源,详细信息可以参考增强型 StatefulSet 控制器
controllerrevisions.apps--[*]Kubernetes StatefulSet/Daemonset 版本控制
deployments.apps--[*]操作 Deployment 资源
statefulsets.apps--[*]操作 Statefulset 资源
ingresses.extensions--[*]操作监控系统 Ingress 资源
*.pingcap.com--[*]操作 pingcap.com 下所有自定义资源
configmaps--[create get list watch update delete]操作 ConfigMap 资源
endpoints--[create get list watch update delete]操作 Endpoints 资源
serviceaccounts--[create get update delete]为 TidbMonitor/Discovery 服务创建 ServiceAccount
rolebindings.rbac.authorization.k8s.io--[create get update delete]为 TidbMonitor/Discovery 服务创建 RoleBinding
secrets--[create update get list watch delete]操作 Secret 资源
roles.rbac.authorization.k8s.io--[escalate create get update delete]为 TidbMonitor/Discovery 服务创建 Role
persistentvolumeclaims--[get list watch create update delete patch]操作 PVC 资源
jobs.batch--[get list watch create update delete]TiDB 集群初始化、备份、恢复操作使用 Job 进行
pods--[get list watch update delete]操作 Pod 资源
 

注意
 

  • 非资源 URLs 列中, - 表示该项没有非资源 URLs。
  • 资源名列中, - 表示该项没有资源名。
  • 动作列中,* 表示支持 Kubernetes 集群支持的所有动作。
 

tidb-scheduler Role 权限
 

以下表格列出了 tidb-scheduler Role 对应的权限。
 

资源非资源 URLs资源名动作解释
leases.coordination.k8s.io--[create]leader 选举需要创建 Lease 资源锁
endpoints--[delete get patch update]操作 Endpoints 资源
persistentvolumeclaims--[get list update]读取 PD/TiKV PVC 信息,更新调度信息到 PVC Label
configmaps--[get list watch]读取 Configmap 资源
pods--[get list watch]读取 Pod 信息
nodes--[get list]读取 Node 信息
leases.coordination.k8s.io-[tidb-scheduler][get update]leader 选举需要读取/更新 Lease 资源锁
tidbclusters.pingcap.com--[get]读取 Tidbcluster 信息
 

注意
 

  • 非资源 URLs 列中, - 表示该项没有非资源 URLs。
  • 资源名列中, - 表示该项没有资源名。

                

        

        

        

    




    

      

        

            

              
                
                  每天读点书学堂
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
Operator基础:3: 使用Operator SDK创建Operator

				
			

			

				

					知行合一 止于至善
				

				

					11-25
					
					4457
					
				

			

		

		

			
				
在上篇文章中介绍了Operator SDK的安装和设定过程,这篇文章继续使用官方的示例来介绍一下如何使用Operator SDK进行Operator的创建和构建等过程。

			
		

	



                

              
                



	

		

			

				
					
Kubernetes集群安全机制(RBAC)

				
			

			

				

					bright的博客
				

				

					03-09
					
					284
					
				

			

		

		

			
				
Kubernetes api-server 安全访问机制kube-apiserver 是 k8s 整个集群的入口,是一个 REST API 服务,提供的 API 实现了 Kubernetes 各类资源对象(如 Pod,RC,Service 等)的增、删、改、查,API Server 也是集群内各个功能模块之间交互和通信的枢纽,是整个集群的总线和数据中心。由此可见 API Server 的重要性了,...

			
		

	



                


  
              

                


	

		

			

				
					
RBAC支持公认的安全原则

				
			

			

				

					刺猬小颖
				

				

					11-30
					
					1208
					
				

			

		

		

			
				
RBAC(Role-Based Access Control )基于角色的访问控制。
RBAC认为权限的过程可以抽象概括为:判断【Who是否可以对What进行How的访问操作】这个逻辑表达式的值是否为True的求解过程。
即将权限问题转换为Who、What、How的问题。who、what、how构成了访问权限三元组。
RBAC支持公认的安全原则:最小特权原则、责任分离原则和数据抽象原则。

最小特权原则得到支持,是因为在RBAC模型中可以通过限制分配给角色权限的多少和大小来实现,分配给与某用户对应的角色的权

			
		

	





	

		

			

				
					
eck:Elasticsearch running in k8s use Kubernetes operator

				
			

			

				

					mmgithub123的博客
				

				

					03-18
					
					121
					
				

			

		

		

			
				
https://www.elastic.co/guide/en/cloud-on-k8s/2.1/index.html
The value set for cpu requests directly impacts Elasticsearchnode.processorssetting. For example, withresources.requests.cpu: 1,
Elastic...

			
		

	



		

			
		



	

		

			

				
					
访问管理器:Kubernetes-Operator简化RBAC配置

				
			

			

				

					02-07
				

			

		

		

			
				
访问管理器
 Access-Manager是Kubernetes-Operator,使用来简化集群中的复杂配置并在名称空间之间传播秘密。
动机
在基于名称空间的基础上管理许多不同的RBAC-Roles时,出现了这个想法。 随着时间的推移,这变得越来越复杂,管理员始终必须确保将正确的角色应用于多个名称空间中的不同人员或ServiceAccounts。 操作员的范围仅限于RoleBinding和ClusterRoleBinding的创建和删除。 因此,所有引用的Role和ClusterRole都必须存在。 让它自动化。
Kubernetes兼容性
该图像包含k8s.io/client-go版本。 Kubernetes旨在在客户端和服务器之间提供一个次要版本的向前和向后兼容性:
 访问管理器
k8s.io/client-go
 k8s.io/apimachinery
 预期的kubernetes

			
		

	





	

		

			

				
					
权限系统与RBAC模型概述

				
			

			

				

					weixin_30619101的博客
				

				

					06-18
					
					1659
					
				

			

		

		

			
				
为了防止无良网站的爬虫抓取文章,特此标识,转载请注明文章出处。LaplaceDemon/SJQ。
http://www.cnblogs.com/shijiaqi1066/p/3793894.html


0. 前言
一年前,我负责的一个项目中需要权限管理。当时凭着自己的逻辑设计出了一套权限管理模型,基本原理与RBAC非常相似,只是过于简陋。当时google了一些权限管理的资...

			
		

	





	

		

			

				
					
TiDB Operator 架构与实现.pdf

				
			

			

				

					08-14
				

			

		

		

			
				
TiDB Operator 架构与实现  TiDB Operator 是一个云原生应用程序,旨在提供 TiDB 集群的全生命周期管理,包括部署、升级、扩展、故障处理、备份、恢复、数据迁移等。它基于 Kubernetes 的declarative 模式,使用...

			
		

	





	

		

			

				
					
分布式数据库云化代码(tidb operator

					
最新发布

				
			

			

				

					01-27
				

			

		

		

			
				
 在 Kubernetes 上使用 TiDB Operator,首先需要安装 Operator,然后通过编写 YAML 配置文件来定义 TiDB 集群的结构和参数。`tidb-operator-master` 压缩包可能包含了 TiDB Operator 的源码,用户可以根据源码自行...

			
		

	





	

		

			

				
					
藏经阁-TiDB Operator 实现原理解析.pdf

				
			

			

				

					09-04
				

			

		

		

			
				
"藏经阁-TiDB Operator 实现原理解析"  TiDB Operator 是一个基于 Kubernetes 的 TiDB 集群管理工具,旨在简化 TiDB 集群的部署、管理和维护。TiDB Operator 通过使用 Kubernetes 的原始 Pod 和 StatefulSet 等 ...

			
		

	





	

		

			

				
					
tidb-operatorTiDB操作员创建和管理在Kubernetes中运行的TiDB集群

				
			

			

				

					02-04
				

			

		

		

			
				
TiDB运算符 邮件列表: 网上 TiDB Operator在上管理集群并自动执行与操作TiDB集群相关的任务。 它使TiDB成为真正的云原生数据库。产品特点安全扩展TiDB集群TiDB Operator通过云上的水平可伸缩性为TiDB提供支持。 ...

			
		

	





	

		

			

				
					
tidb-operator-crd.yaml

				
			

			

				

					01-14
				

			

		

		

			
				
tidb-operator-crd.yaml

			
		

	





	

		

			

				
					
RBAC实战

				
			

			

				

					LiLi的博客
				

				

					11-03
					
					1087
					
				

			

		

		

			
				
一、 什么是 RBAC
RBAC(Role-Based Access Control )基于角色的访问控制。
RBAC 认为权限的过程可以抽象概括为:
判断【Who 是否可以对 What 进行 How 的访问操作(Operator)】
Who:权限的拥用者或主体
What:权限针对的对象或资源
How:具体的权限
Operator:操作。表明对 What 的 How 操作。也就是 Privilege+Resource
Role:角色,一定数量的权限的集合。权限分配的单位与载体,目的是隔离User与Privi

			
		

	





	

		

			

				
					
权限设计的RBAC原则

				
			

			

				

					weixin_33877885的博客
				

				

					05-22
					
					757
					
				

			

		

		

			
				
权限管理的设计运用在许多方面,今天和大家分享一篇RBAC的概念,希望对大家有个帮助。
这里只对基于角色的访问控制与基于资源的访问控制做一个思想上的认识
一、说明
 基于角色的权限访问控制RBAC(role-based access control)是以角色为中心进行的访问控制,也就是判断主体subject是那个角色的方式进行权限访问控制,是粗粒度的
 基于资源的权限访问控制RBAC(r...

			
		

	





	

		

			

				
					
RBAC权限模型相关概念介绍

				
			

			

				

					qq_30847849的博客
				

				

					10-17
					
					1159
					
				

			

		

		

			
				
第一章 RBAC权限模型

1.1 基础表模型

1.概念

权限管理,这是每个软件系统都会涉及到的,而且权限管理的需求本质往往都是一样,不同的角色拥有不同的权限,只要你充当了某个角色,你就拥有了相对应的功能。

RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。

简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。

这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般都是多对多的关系...

			
		

	





	

		

			

				
					
使用Java注解实现RBAC规则的自动提取

				
			

			

				

					jimshen的专栏
				

				

					03-21
					
					1827
					
				

			

		

		

			
				
RBAC是各类系统中应用最广泛的访问控制机制。使用RBAC时,一个比较复杂的问题是维护数据库中的规则列表。本文使用Java注解实现了规则的自动提取,程序员只需要需要权限控制的方法上方用RBAC注解说明规则名,规则url和能使用该方法的角色名即可。


RBAC表结构


一、RBAC注解

package annotation.rbac;

import java.lang.an

			
		

	





	

		

			

				
					
用户·角色·权限·表的设计

					
热门推荐

				
			

			

				

					u013595377的专栏
				

				

					05-15
					
					2万+
					
				

			

		

		

			
				
一.引言
       因为做过的一些系统的权限管理的功能虽然在逐步完善,但总有些不尽人意的地方,总想抽个时间来更好的思考一下权限系统的设计。
       权限系统一直以来是我们应用系统不可缺少的一个部分,若每个应用系统都重新对系统的权限进行设计,以满足不同系统用户的需求,将会浪费我们不少宝贵时间,所以花时间来设计一个相对通用的权限系统是很有意义的。
二.设计目标
       设计一个

			
		

	





	

		

			

				
					
RBAC规范和对应实现方案推荐

				
			

			

				

					weixin_34419321的博客
				

				

					03-14
					
					574
					
				

			

		

		

			
				
资料地址:http://down.51cto.com/data/2459472
rbac规范  解决不规范和不确定的问题
3.术语
{
组件 component  四个RBAC特征集之一(核心RBAC 层次RBAC 静态职责分离关系 动态职责分离关系)  
对象 object  需要进行访问控制的系统资源
操作 operation  一个程序的可执行映像,被调用时为用户执行的某些功能 GET 
权...

			
		

	





	

		

			

				
					
Yii2权限控制RBAC之rule规则的用法

				
			

			

				

					flyingfox717的博客
				

				

					10-31
					
					1127
					
				

			

		

		

			
				
使用yii\rbac\DbManager配置authManager必须生成四张表,其中的auth_rule表就是存放的规则信息. 规则给角色和权限增加额外的约束条件, 要使用规则, 我们首先必须创建规则类, 该类必须继承yii\rbac\Rule, 并且要实现excute()方法.

   使用规则大体流程:

根据业务逻辑创建一个规则类;
	将规则添加至auth_rule表中,...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
每天读点书学堂

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值