kubernets(CKA):管理基于角色的访问控制,RBAC(一)

最新推荐文章于 2023-06-23 20:59:05 发布
最新推荐文章于 2023-06-23 20:59:05 发布
阅读量243 收藏
点赞数
分类专栏: kubernetes 运维 文章标签: 运维 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43856535/article/details/124239291
版权

RBAC

前言

复习CKA基本知识

一、RBAC鉴权是什么?

基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对 计算机或网络资源的访问的方法。

二、基本意义

1.Role 和 ClusterRole

RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。

Role 总是用来在某个namespace 内设置访问权限;在你创建 Role 时,你必须指定该 Role 所属的名字空间。

ClusterRole 则是一个集群作用域的资源。

ClusterRole 3个作用:

  1. 定义对某namespace资源的访问权限,并将在各个名字空间内完成授权
  2. 定义对namespace资源的权限,并跨namespace授予权限
  3. 定义群集范围内资源的权限。

2.Role和ClusterRole

ROLE
1.Role的yaml部分实例,摘自官方https://kubernetes.io/
2.下面是“default””命名空间中的一个示例角色,并且授予pod读取权限

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default 
  name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

ClusterRole

ClusterRole可用于授予与角色相同的权限。因为ClusterRoles是集群范围的,所以您还可以使用它们来授予对以下内容的访问权限:

  • node,节点
  • endpoint, 端点,健康监测等
  • pod,namespace

3.RoleBinding 和 ClusterRoleBinding

  • RoleBinding

RoleBinding将角色中定义的权限授予一个用户或一组用户。它包含一个表现对象(用户、组或服务帐户),以及对被授予角色的引用。RoleBinding授予特定namespace内的权限,而ClusterRoleBinding授予访问集群范围的权限。。

  • ClusterRoleBinding
    RoleBinding可以引用同一namespace中的任何角色。

PS:RoleBinding

RoleBinding示例

apiVersion: rbac.authorization.k8s.io/v1
# 这个角色绑定允许“jane”读取“default”namespace中的pod.
# You need to already have a Role named "pod-reader" in that namespace.
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
# You can specify more than one "subject"
- kind: User
  name: jane # "name" is case sensitive
  apiGroup: rbac.authorization.k8s.io
roleRef:
  # “roleRef”指定Role/ClusterRole的绑定
  kind: Role #this must be Role or ClusterRole
  name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
这必须与要绑定到的角色或ClusterRole的名称匹配
  apiGroup: rbac.authorization.k8s.io

ClusterRoleBinding 示例

apiVersion: rbac.authorization.k8s.io/v1
# This cluster role binding allows anyone in the "manager" group to read secrets in any namespace.
kind: ClusterRoleBinding
metadata:
  name: read-secrets-global
subjects:
- kind: Group
  name: manager # Name is case sensitive
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

PS:
创建绑定后,不能更改它引用的role或ClusterRole。如果试图更改绑定的roleref,则会出现验证错误。如果确实要更改绑定的roleRef,则需要删除绑定对象并创建替换对象。

这种限制有两个原因:

  1. 使roleRef不可变允许授予某人对现有绑定对象的更新权限,以便他们可以管理主题列表,而不必更改授予这些主题的角色。
  2. 对不同角色的绑定是根本不同的绑定。要求删除/重新创建绑定以更改roleref可确保绑定中的完整主题列表将被授予新角色(而不是在未验证所有现有主题的情况下仅启用或意外修改roleref)

总结

以上就是今天要讲的内容,本文仅仅简单介绍了RBAC的概念。
详细可查看官方文档
https://kubernetes.io/docs/reference/access-authn-authz/rbac

zxx的小运维
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKA1.20】练习题 - RBAC
Coming
03-29 645
目录 1 RBAC 1.题目 2.解析&参考答案 1 RBAC 1.题目 创建名称 deployment-clusterrole 的 ClusterRole 该角色具备创建 Deployment、Statefulset、Daemonset 的权限 在命名空间 app-team1 中创建名称为 cicd-token 的 ServiceAccount 绑定 ClusterRole 到 ServiceAccount,且限定命名空间为 app-team1 原题英文说明如下: .
cka-kubernetes:CKA-Kubernetes 部署模板+CKACKAD 指南
05-03
CKA Kubernetes 配置vagrant 虚机部署过程安装 Go 语言环境:tar -C /usr/local -xzf go1.10.1.linux-amd64.tar.gzmkdir /gocat /etc/profileexport PATH=$PATH:/usr/local/go/bin:/go/binexport GOROOT=/usr/local/...
(转)基于角色管理的系统访问控制
weixin_30500473的博客
08-23 136
1. 引言(Introduction)1.1. 关键词定义(Definitions) 有关定义说明如下: 安全管理:计算机技术安全管理的范围很广,可以包括网络安全性、数据安全性、操作系统安全性以及应用程序安全性等。很多方面的安全性管理大都已经有成熟的产品了,我们只需根据自己需要有选择性的使用就可达到自己的目的了。本文中有关关涉及"安全管理"一词均只针对本公司推出的应用中有关对象与数据而言范围...
基于角色访问控制RBAC
吃糖不加牛奶的博客
10-02 2250
基于角色访问控制RBAC) 注:该博客参考 尚硅谷老师,仅供个人学习使用,转载请标明作者和此段文字
RBAC(基于角色的权限访问控制)
wyy的博客
07-10 1994
第一节.RBAC简介 英文全称(Role-Based Access Control) 中文全称:基于角色的权限访问控制 rbac: 一种数据库设计思想,根据设计数据库设计方案,完成项目的权限控制. 经常需要添加权限的情景 4.1 不同用户登录后看到的菜单是不一样的. 4.2 不同用户看到的页面效果不一样 4.2.1 有的用户可以看见”授权”按钮,或有的用户可以看见”删除”按钮 4.3 不同用户完成的功能是不一样的. 4.3.1 有的用户可以执行删除,有的可以执行新增. 学习RBAC需要掌握的两项
cka-真题RBAC
lijian965644856的博客
02-01 466
Task: 创建一个名为deployment-clusterrole的clusterrole,并且对该clusterrole只绑定对Deployment,Daemonset,Statefulset的创建权限 在指定namespace app-team1创建一个名为cicd-token的serviceaccount,并且将上一步创建clusterrole和该serviceaccount绑定 题目解释: 1,touch deployment-clusterrole.yml videploy...
华为云 CKA kubernetes管理员实训视频.zip
05-23
Kubernetes管理员实训 第2课:调度管理实训.pdf cka03.mkv 第3课:K8S日志、监控与应用管理实训.pdf cka04.mkv 第4课:K8S网络实训.pdf cka05.mkv 第5课:K8S存储管理实训.pdf cka06.mkv 第6课:K8S安全管理实训...
prepare-k8s-cka:Kubernetes CKACKAD考试的准备
05-10
1准备K8S CKA考试 博客网址: : ,类别: 归档我或给星标。 查看来自Denny的更多Kubernetes: 1.1小结 5%-[安排中](安排中) 5%-[记录/监视](Logging_Monitoring) 8%-[应用程序生命周期管理]...
CKA备战04-真题:RBAC
moyu11111的博客
04-01 279
做之前记得切换到对应context : kubectl config use-context k8s Q1:RBAC Create a new ClusterRole named deployment-clusterrole at only allows the creation of the following resource types: Deployment StatefulSet DaemonSetCreate a new Servi...
CKA、CKS篇】CKA真题解析—RBAC权限控制扩展
weixin_45842494的博客
10-23 432
注意:clusterbinding不能绑定role,只能绑定clusterrole,而rolebinding既能绑定role又能绑定clusterrole,当rolebinding绑定clusterrole时会使clusterrole降级。说明:clusterrole和role的创建方式基本相同,需要注意的是role需要指定名称空间,因为它是名称空间级别的,而clusterrole不需要指定,因为它是集群级别的。ClusterRole是集群级别的,对集群内所有的名称空间有效。
CKA1.19版本2020年最新版本真题,第一题RBAC
qq_43891456的博客
10-28 5321
CKA1.19真题 备注:题目全部真实可靠,有考试截图验证。题目顺序非考试顺序,在我考完后同事去参加考试遇到的题目和我的完全一直,但是顺序会有颠倒,祝各位都能顺利通过考试 第一题:RBAC 创建一个名为deployment-clusterrole的clusterrole,并且对该clusterrole只绑定对Deployment,Daemonset,Statefulset的创建权限 在指定namespace app-team1创建一个名为cicd-token的serviceaccount,并且将上
【云原生】CKA 第⼀题:权限控制RBAC
大壮
01-31 554
CKA认证考试是由Linux基金会和云原生计算基金会(CNCF)创建的,以促进Kubernetes生态系统的持续发展。该考试是一种远程在线、有监考、基于实操的认证考试,需要在运行Kubernetes的命令行中解决多个任务。CKA认证考试是专为Kubernetes管理员、云管理员和其他管理Kubernetes实例的IT专业人员而设的。 已获得认证的K8s管理员具备了进行基本安装以及配置和管理生产级Kubernetes集群的能力。他们将了解Kubernetes网络、存储、安全、维护、日志记录和监控、应用
什么是 RBAC 权限控制
最新发布
mc_ChenF_B的博客
06-23 1241
RBAC是Role Based Access Control的英文缩写,意思是RBAC实际上就是针对产品去挖掘需求时所用到的Who(角色)、What(拥有什么资源)、How(有哪些操作)的方式。在RBAC模型中,who、what、how构成了三元组,也就是“Who对What进行How的操作。RBAC的优缺点。
CKA、CKS篇】CKA真题解析—RBAC权限控制
weixin_45842494的博客
10-22 670
这个专栏我们进行CKA和CKS的真题讲解,题目出自CKA和CKS题库。掌握了这些题目,对于CKA和CKS考试将会变得非常简单。根据以往的经验,甚至有原题出现,最多就是参数等的变化。由于资料是花钱买的,所以这个专栏将收取一定费用,有兴趣的小伙伴可以订阅,我将持续更新,教给大家做题的方法和技巧,理清思路,并且将涉及到的知识点做进一步的补充说明,希望各位小伙伴能学到知识,当然还盼望大家升职加薪。
k8s笔记八(kubernetes中认证、授权、准入控制
热门推荐
dayi_123的博客
05-24 1万+
1、k8s中的访问控制 API server作为kubernetes集群系统的网关,是访问管理资源对象的唯一入口,而其他所有的组件及kubectl命令都要经由此网关进行集群的访问管理。而各组件及客户端每一次的访问请求都要有api server进行合法性校验,包括身份鉴别、操作权限验证等。所有的检查通过之后才能访问或存入数据于后端的etcd中。客户端的认证操作是由api ser...
Kubernetes 1.6新特性:RBAC授权
程序源234的专栏
04-15 1万+
概述 Kuberntes中API Server的访问控制过程图示如下: 在Kubernetes中,授权(authorization)是在认证(authentication)之后的一个步骤。授权就是决定一个用户(普通用户或ServiceAccount)是否有权请求Kubernetes API做某些事情。 之前,Kubernetes中的授权策略主要是ABAC(Attribut
什么是基于角色访问控制 (RBAC)?示例、好处等
allway2的博客
09-21 9529
根据 Research Triangle Institute 为 NIST 提供的 2010 年报告,RBAC 减少了员工停机时间,改进了供应,并提供了高效的访问控制策略管理RBAC 提供了细粒度的控制,提供了一种简单、可管理访问管理方法,与单独分配权限相比,这种方法更不容易出错。在组织内部,可以为不同的角色提供写访问权限,而其他角色可能只提供查看权限。如果它们被删除,访问将受到限制。在这些角色中的每一个中,可能有一个管理层和一个单独的贡献者层,它们在授予每个角色的各个应用程序内具有不同级别的权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值