Kubernetes中RBAC实战一 servicecount 10月2日实验笔记

最新推荐文章于 2023-09-05 20:30:00 发布
最新推荐文章于 2023-09-05 20:30:00 发布
阅读量529 收藏 1
点赞数
分类专栏: kubernetes 实验日常 文章标签: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43143310/article/details/120587175
版权
本文介绍了如何在Kubernetes中创建并使用Service Account,包括创建Service Account、关联Pod、测试无权限访问ApiServer以及为Service Account添加权限后的访问测试。通过实例展示了Service Account在权限控制和安全访问集群资源中的作用。
摘要由CSDN通过智能技术生成

Kubernetes的servicecount简单实战

文章目录

一、创建servicecount

我这里使用的命令创建,可以用yaml进行声明式创建

kubectl create servicecount my-service-account

我们查看一下sa的yaml文件

[root@node1 ~]# kubectl get sa my-service-account  -oyaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: "2021-10-02T08:21:38Z"
  name: my-service-account
  namespace: default
  resourceVersion: "1131562"
  selfLink: /api/v1/namespaces/default/serviceaccounts/my-service-account
  uid: 3fa61359-d969-4701-b73a-f049749c6816
secrets:
- name: my-service-account-token-kbvh6

注意:创建sa的同时,会自动创建一个sa关联的secrets,从上面命令也可以很清晰的看出来When creating an SA, an SA associated secret will be automatically created, which can be clearly seen from the above commands

二、创建POD关联刚才创建sa

yaml文件如下:

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-v3
  namespace: default
  labels:
    app: nginx-v3
spec:
  selector:
    matchLabels:
      app: nginx-v3
  replicas: 1
  template:
    metadata:
      name: nginx-v3tem
      labels:
        app: nginx-v3
    spec:
      serviceAccountName: my-service-account
      containers:
      - name: nginxv3-pod
        image: nginx
        imagePullPolicy: IfNotPresent
        ports:
        - name: http
          containerPort: 80

笔者是为了图省事找了一个之前的deploy的yaml来创建的。亦可以之间创建pod通过serviceAccountName: my-service-account来关联

三、测试无权限访问ApiServer

我们通过命令进入到刚才的容器中;

kubectl exec -it nginx-v3-79dd7b64d8-wc4gf  -- /bin/bash

注意:

  • 默认的servercount文件会被sa准入控制器挂载到容器内部的/var/run/secrets/kubernetes.io/serviceaccount目录
  • 访问的地址是namespaces而不是namespace!!!(这个问题我排查了20分钟,有个s)

使用curl命令向ApiServer发出请求:

cd /var/run/secrets/kubernetes.io/serviceaccount
curl --cacert ./ca.crt -H "Authorization: Bearer $(cat ./token)"   https://kubernetes/api/v1/namespaces/$(cat ./namespace)
## --cacert用于指定证书
## -H 用于指定头部
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "namespace \"default\" is forbidden: User \"system:serviceaccount:default:my-service-account\" cannot get resource \"namespace\" in API group \"\" at the cluster scope",
  "reason": "Forbidden",
  "details": {
    "name": "default",
    "kind": "namespace"
  },
  "code": 403

这里我们可以看到通过指定token是可以成功访问到apiServer的,因为这个sa没有添加任何权限,所以会报403的错误,接下来我们尝试给sa添加default命名空间下的权限。

四、添加权限后访问ApiServer

我们退出容器,使用命令行给sa赋予admin的操作权限

kubectl create rolebinding namespace-admin-binding-admin --clusterrole=admin --serviceaccount=default:my-service-account -n default

查看rolebinding

[root@master dailytest]# kubectl describe rolebinding namespace-admin-binding-admin
Name:         namespace-admin-binding-admin
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  ClusterRole
  Name:  admin
Subjects:
  Kind            Name                Namespace
  ----            ----                ---------
  ServiceAccount  my-service-account  default

测试访问:

curl --cacert ./ca.crt -H "Authorization: Bearer $(cat ./token)"   https://kubernetes/api/v1/namespaces/default
{
  "kind": "Namespace",
  "apiVersion": "v1",
  "metadata": {
    "name": "default",
    "selfLink": "/api/v1/namespaces/default",
    "uid": "facb579e-e545-465c-9310-43dbbc251475",
    "resourceVersion": "155",
    "creationTimestamp": "2021-05-22T06:37:19Z",
    "managedFields": [
      {
        "manager": "kube-apiserver",
        "operation": "Update",
        "apiVersion": "v1",
        "time": "2021-05-22T06:37:19Z",
        "fieldsType": "FieldsV1",
        "fieldsV1": {"f:status":{"f:phase":{}}}
      }
    ]
  },
  "spec": {
    "finalizers": [
      "kubernetes"
    ]
  },
  "status": {
    "phase": "Active"
  }

因为赋予的是admin的权限,实际上crud是都有的,我们来访问一下default命名空间下的sa资源

 curl --cacert ./ca.crt -H "Authorization: Bearer $(cat ./token)"   https://kubenetes/api/v1/namespaces/default/serviceaccounts
  {
      "metadata": {
        "name": "my-service-account",
        "namespace": "default",
        "selfLink": "/api/v1/namespaces/default/serviceaccounts/my-service-account",
        "uid": "3fa61359-d969-4701-b73a-f049749c6816",
        "resourceVersion": "1131562",
        "creationTimestamp": "2021-10-02T08:21:38Z"
      },
      "secrets": [
        {
          "name": "my-service-account-token-kbvh6"
        }
      ]
    }

同时因为只赋予了default命名空间下的权限,所以是无法访问其他命名空间的

curl --cacert ./ca.crt -H "Authorization: Bearer $(cat ./token)"   https://kubenetes/api/v1/namespaces/kube-system
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "namespaces \"kube-system\" is forbidden: User \"system:serviceaccount:default:my-service-account\" cannot get resource \"namespaces\" in API group \"\" in the namespace \"kube-system\"",
  "reason": "Forbidden",
  "details": {
    "name": "kube-system",
    "kind": "namespaces"
  },
  "code": 403
}
陈小c
关注
专栏目录
Kubernetes集群方方面面实战教程学习线路指南
江晓龙的博客
10-31 7万+
Kubernetes集群方方面面实战教程学习线路指南 学习路线指南 欢迎大家来到jiangxl~的《Kubernetes集群方方面面进阶之路》专栏,本文给大家详细列出Kubernetes集群方方面面每一章节文章指南,大家可以根据自己的需求阅读想要学习的文章。 本专栏涵盖Kubernetes集群方方面面的技术总结,包括高可用集群、Pod资源、Pod资源控制器、配置存储、数据存储、安全框架等各方面深入解析、Helm包管理机制、Istio网格服务,以及基于Kubernetes集群的CI/CD流程设计及实现,总文章
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1636
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API,通过如下的步骤进行授权
Service
Veng的博客
01-12 355
ServiceAndroid四大组件之一,后台运行创建,配置Service1.定义一个继承service的子类 2.在AndroidManifest.xml文件配置该Service //如果是在AndroidStudio,可以直接new一个Service,快速构建. 1.创建: import android.app.Service import android.content.Intent
关于SQL Server的COUNT()指令
开发人
01-24 1965
在有关SQL Server的讨论,时常遇到这样一个问题:到底应该使用COUNT(*)还是使用COUNT(columnname),其columnname是要计算纪录数的列名。一些讨论区和邮件列表给出的建议往往都是使用COUNT(columnname)比使用COUNT(*)更好。但这并不总是对的,有时甚至完全错了。尽管有些场合可以(或者说是应该)使用COUNT(columnname),但不能总是这
K8S学习之serviceacount~RBAC授权
weixin_60092693的博客
01-25 1508
第一部分、认证 kubernetes上的账号 kubectl explain pods.spec可以看到有一个字段serviceAccountName(服务账号名称),这个就是我们pod连接apiserver时使用的账号,整个kubernetes集群的账号有两类,ServiceAccount(服务账号),User account(用户账号) User account:实实在在现实的人,人可以登陆的账号,客户端想要对apiserver发起请求,apiserver要识别这个客户端是否有请求的权限,那么不同的
k8sServiceAccount权限详解、RBAC 详解(基于角色的访问控制),常用操作指令
mingqing的博客
11-29 4971
文章目录Service Account应用示例RBAC 详解(基于角色的访问控制)创建一个角色(role)---权限实验二常用操作指令 Service Account应用示例 概念图权限关系 我自己的理解就是,Service Account就是pod的权限 1、创建serviceaccount [root@kub-k8s-master ~]# kubectl create serviceaccount mysa serviceaccount/mysa created 2、查看mysa [root@kub
kubernetes-rbac-audit:Kubernetes用于审计RBAC的工具
05-02
ExtensiveRoleCheck是一个Python工具,可扫描Kubernetes RBAC的危险角色。 该工具是“ Kubernetes Pentest方法论”博客文章系列的一部分。 usage: ExtensiveRoleCheck.py [-h] [--clusterRole CLUSTERROLE] [--...
026 KubernetesRBAC.mp4
05-07
026 KubernetesRBAC.mp4
rbac-tool:Kubernetes RBAC Power Toys - 可视化、生成和查询
05-30
基于角色的访问控制 (RBAC) 是一种根据组织内单个用户的角色来调节对计算机或网络资源的访问的方法。 RBAC 授权使用rbac.authorization.k8s.io API 组来驱动授权决策,允许您通过 Kubernetes API 动态配置策略。 ...
audit2rbac:基于Kubernetes审核志自动生成RBAC策略
02-03
audit2rbac 总览 audit2rbac将和用户名作为输入,并生成角色和绑定对象,以覆盖该用户提出的所有API请求。 示范影片 使用说明 获取Kubernetes审核志,其包含您希望用户执行的所有API请求: 志必须为JSON格式...
RBAC 基于权限的访问控制 serviceaccount -- clusterRole clusterRoleBinding
weixin_30248399的博客
11-12 452
1.Role , RoleBinding 的作用对象都是namespace。 2.通过RoleRef,可以看到,RoleBinding对象通过名字,直接引用前面定义的Role,实现subject(user)和Role的绑定 role -- namespace -- RoleBinding -- mynamespace |...
K8S认证、授权与准入控制(RBAC)详解
weixin_33915554的博客
04-17 861
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
k8s rbac
SHELLCODE_8BIT的博客
03-10 1644
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
Service 学习(一)
Dear月的博客
12-14 406
一、Service的概念 Service是Android程序四大基础组件之一,它和Activity一样都是Context的子类,只不过它没有UI界面,是在后台运行的组件。 二、Service的生命周期 Service对象不能自己启动,需要通过某个Activity、Service或者其他Context对象来启动.启动的方法有两种,Context.startService和Context.bi
k8s-RBAC
kxq的博客
12-22 643
一、认证 1.进入到证书目录 cd /etc/kubernetes/pki/ 2.创建kxq用户的私钥 (umask 077; openssl genrsa -out kxq.key 2048 ) 3.创建kxq用户的证书 openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq" 4.利用ca.crt,ca.key进行签证 [root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.cr
K8sRBAC(Role-Based Access Control)
最新发布
多头注意力探索Now
09-05 1093
K8s上的RBAC设计和实现方式说明
k8s:RBAC
m0_50434960的博客
03-12 492
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
K8sRBAC模型
s1056481432的博客
03-16 245
RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群的身份有两种:用户(User)和服务账号(Service Account),其service accountk8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。
K8S RBAC介绍
小单的博客专栏
03-19 5378
Kubernetes,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。所以RBAC也就...
OAuth2与RBAC实战:Spring Security OAuth2与Casbin应用解析
"认证和授权是软件安全的关键组成部分,包括Oauth2、RBAC和Casbin等技术。Oauth2是一种授权协议,用于提供认证和授权标准,常用于开放平台的第三方应用接入。RBAC(基于角色的访问控制)则是一种权限管理模型,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈小c

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值