【CKA 2024】CKA 考前自学 (一)

已于 2024-05-08 16:24:01 修改
阅读量1k 收藏 12
点赞数 16
分类专栏: 容器化技术 文章标签: kubernetes 容器 云原生 CKA
于 2024-04-04 14:42:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43887369/article/details/137374531
版权

Kubernetes 鉴权

理论学习

目前Kubernetes 官方提供了四种鉴权模块:

  • Node —— 一个专用鉴权模式,根据调度到 kubelet 上运行的 Pod 为 kubelet 授予权限。
  • ABAC ——基于属性的访问控制(ABAC)定义了一种访问控制范型,通过使用将属性组合在一起的策略,
    将访问权限授予用户。策略可以使用任何类型的属性(用户属性、资源属性、对象,环境属性等)。
  • RBAC —— 基于角色的访问控制(RBAC) 是一种基于企业内个人用户的角色来管理对计算机或网络资源的访问的方法。 在此上下文中,权限是单个用户执行特定任务的能力, 例如查看、创建或修改文件。
  • Webhook —— WebHook 是一个 HTTP 回调:发生某些事情时调用的 HTTP POST; 通过 HTTP POST 进行简单的事件通知。 实现 WebHook 的 Web 应用程序会在发生某些事情时将消息发布到URL。
    基于角色的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。在大中型企业的实践中, RBAC 授权模型已经被认为是最佳的员工授权管理解决方案。使用 RBAC,只要严格遵守角色的规则要求,它会让你的访问管理变得非常容易,且不容易出错。

RBAC API 声明了四种 Kubernetes 对象:Role、ClusterRole、RoleBinding 和 ClusterRoleBinding。
RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的(不存在拒绝某操作的规则)。

Role 总是用来在某个名字空间内设置访问权限; 在你创建 Role 时,你必须指定该 Role 所属的名字空间。

与之相对,ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同(Role 和 ClusterRole) 是因为 Kubernetes 对象要么是名字空间作用域的,要么是集群作用域的,不可两者兼具。

ClusterRole 有若干用法。你可以用它来:

  • 定义对某名字空间域对象的访问权限,并将在个别名字空间内被授予访问权限;
  • 为名字空间作用域的对象设置访问权限,并被授予跨所有名字空间的访问权限;
  • 为集群作用域的资源定义访问权限。

如果你希望在名字空间内定义角色,应该使用 Role; 如果你希望定义集群范围的角色,应该使用 ClusterRole。

角色绑定(Role Binding)是将角色中定义的权限赋予一个或者一组用户。 ClusterRoleBinding 用于要跨整个集群完成访问权限的授予。RoleBinding 在指定的名字空间中执行授权,而 ClusterRoleBinding 在集群范围执行授权。

一个 RoleBinding 可以引用同一的名字空间中的任何 Role。 或者,一个 RoleBinding 可以引用某 ClusterRole 并将该 ClusterRole 绑定到 RoleBinding 所在的名字空间。 如果你希望将某 ClusterRole 绑定到集群中所有名字空间,你要使用 ClusterRoleBinding。

实战练习

](https://img-blog.csdnimg.cn/direct/a1795db9504f4aad81b4a3da417e3988.png)

操作步骤

  1. 进入题目指定集群
$ kubectl config use-context k8s
  1. 创建 ClusterRole 并赋予所需权限
$ kubectl create clusterrole deployment-clusterrole --verb=create --resource=Deployments,StatefulSets,DaemonSets

在这里插入图片描述

  • verb : create 表示允许执行创建操作
  • resource:deployments,statefulsets, daemonsets 表示允许对Deployments 、 StatefulSets、DaemonSets 资源进行操作 ,其中:
    - Deployments (部署) :用于管理可扩展的应用程序部署。 可以指定要运行的容器镜像、副本数量、升级策略等信息。并提供滚动更新和回滚功能,以便无缝地更新应用程序版本
    - StatefulSets (有状态副本集):用于管理有状态应用程序的部署。在Deployments不同,StatefulSets 在创建和管理Pod 实例时保持每个实例的唯一标识和稳定的网络标识符。这对于需要有状态应用程序(如数据库)非常重要,因为每个实例都有自己的持久性标识,并且可以按顺序启动和停止。
    - DaemonSets (守护进程集): DaemonSets 是一种 Kubernetes 资源对象,用于在集群的每个节点上运行一个 pod 的副本。与 Deployments 和 StatefulSets 不同,DaemonSets 不会按照副本数量进行扩展,而是确保在每个节点上运行一个 Pod 副本。 这对于在整个集群中运行后台任务、监控代理或网络代理等系统级任务非常有用。
  1. 在指定Namespace 创建 ServiceAccount
$ kubectl -n app-team1 create serviceaccount cicd-token

在这里插入图片描述

  1. 将新的ClusterRole 绑定到 ServiceAccount
$ kubectl -n app-team1 create rolebinding clusterrolebinding --clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token

检查命令

$ kubectl -n app-team1 describe rolebinding clusterrolebinding
$ kubectl describe clusterrole deployment-clusterrole

在这里插入图片描述

参考链接: https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/

在这里插入图片描述

也言
关注
  • 16
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CKA 2024CKA 考前自学 (二)
也言的博客
04-04 451
Kubernetes Deployment (部署)是一种 Kubernetes 资源对象,用于定义和管理容器化应用程序的部署和更新。Deployment 提供了一种声明性的方式来定义应用程序的期望状态,并负责确保所需数量的 Pod 副本在集群中运行。Kubectl Scale 命令用于调整 Kubernetes 中部署(Deployment)、副本集(ReplicaSet)、或状态副本集(StatefulSet)的副本数量。
CKA 2024CKA 考前自学 (三)
也言的博客
04-08 482
Kubernetes NetworkPolicy 用于定义和管理网络访问策略,它提供了一种声明性的方式来控制 Pod 之间以及 Pod 与集群内外其他网络实体之间的通信。确保新的 NetworkPolicy 允许 namespace echo 中的 Pods 连接到 namespace my-app 中的 Pods 的 9000 端口。在现有的 namespace my-app 中创建一个名为 allow-port-from-namespace 的新 NetworkPolicy。
2024年网络安全最新k8s学习-CKA真题-Deployment扩缩容_2024cka认证考试题目,2024年最新帮你解决90%的问题
2401_84281698的博客
05-07 426
扩容名字为loadbalancer的deployment的副本数为6。
k8s学习-CKA考试必过宝典
关注网络安全、云原生安全
01-02 2525
• 使用ConfigMaps和Secrets配置应用程序。• 了解用于创建健壮的、自修复的应用程序部署的原语。:折扣期间购买的可能无法退换,注意看网站的一些条款。不能使用中国网站的账号登录,通过考试券来预约考试。国内需要身份证,国外需要其他类型的身份证件,如护照。更多信息可以加入网站右下角的官方交流群!• 管理高可用性的Kubernetes集群。博主使用的Github,也可以使用其他方式。• 了解如何配置具有持久性存储的应用程序。• 了解如何使用入口控制器和入口资源。• 了解如何配置和使用CoreDNS。
2024 CKA 题库 | 14、升级集群
aifeier的博客
01-23 683
依次点击 Tasks → Administer a Cluster → Administration with kubeadm → Upgrading kubeadm clusters (看不懂英文的,可右上角翻译成中文)记不清的,可以使用 kubectl -h 来帮助。没必要参考网址,建议多练习,背过命令就行。如何离线主机,并升级控制面板和升级节点。如果非要参考,可以按照下面方法。
我的 2024CKA 认证两天速通攻略
凌虚Blog
02-01 2313
背景说明如上图所示,本人于 2024 年 1 月 22 号晚上 11 点进行了 CKA 的认证考试,并以 95 分(满分100)顺利通过拿证。本文将会介绍我的 CKA 考试心得和速通攻略。CKA 认证官方介绍:CKA( Certified Kubernetes Administrator) 认证考试可确保 Kubernetes 管理人员在从业时具备应有的技能、知识和能力。已获得认证的 K8s 管理...
备战2024 CKA考试?这些热门考题等你挑战!
didiplus
03-20 1339
不容错过:2024CKA考题精选,提前了解考试风向标!
JavaScript学习笔记(二十)DOM动画效果
2401_84254011的博客
04-28 487
/0 ~ 100}else{//100// 3. 速度取整;}else{}else{// 4. 终止条件;} , 50)
运维想转型,一般人我劝你还是算了吧!
leah126的博客
01-29 1230
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在工作中你是否遇到过困惑和迷茫的时期,总是有解决不完的问题,救不完的火,总在反复单调的做着同样的事情,担心自己会被时代给淹没,会被时代给抛弃,运维这样的工作是不是也能转型升级?我现在做一家汽车企业的it部门运维工程,不是it安全公司,但也是主要负责安全防护,接触的都是深信设备多,所以说是做网络安全的工作也说的过去。
k8s-CKA考前讲解重点实战讲解
02-07
【k8s-CKA考前讲解重点实战讲解】 在准备 Certified Kubernetes Administrator (CKA) 考试的过程中,理解并掌握容器技术是至关重要的。容器是一种轻量级的虚拟化技术,它允许应用程序及其依赖关系在一个独立的环境...
云原生-k8s知识学习-CKA考前培训(16章全,附文档资料)
10-20
视频课程下载——云原生-k8s知识学习-CKA考前培训,16章全,附文档资料。
K3s部署及研究
Januea的博客
07-22 693
K3s部署及研究
K8s-控制器
最新发布
l6xy6的博客
07-23 436
2.编辑RS控制器:kubectl -n lxy edit rs nginx-rs (有些是无法修改)获取当前rs资源的Yaml: kubectl -n lxy get rs nginx-rs -oyaml。1.对yaml修改副本数,修改资源配置:kubectl apply -f rs-nginx.yml。2.控制器可以帮助用户监控,并保证节点上运行定义好的pod副本数。3.pod超过或低于用户期望,控制器会创建、删除pod副本数量。作用:1.pod类型资源删除,不会重建。
K8S第一节:什么是K8S?
chililopp的博客
07-23 847
kuberbetes这词是起源于希腊语,是舵手的意思,因为k与s之间一共有8个字母,所以大家习惯称呼为K8s;它的logo是一个舵,而舵是用来操控船的;而船不就是docker吗?​当使用docker或containerd作为容器运行时,如果运行大量的容器服务,此时管理这些容器就会很麻烦,而K8S就是这么一个对容器进行统一管理的开源容器编排平台,支持自动部署、扩展和容器化应用程序;
k8s+containerd(kvm版)
weixin_62799021的博客
07-22 589
k8s(Kubernetes)是由Gogle开源的容器编排引擎,可以用来管理容器化的应用程序和服务,kk8s提供了自动重启、自动重建、自动修复提高集群的可用性,以下概念稍微了解即可,看一看直接实操,
K8s 核心组件——API Server
谦虚使人发胖的博客
07-23 727
Kubernetes API Server(API Server)是 Kubernetes 的核心组件之一,负责暴露 Kubernetes API 给用户和客户端,接收和处理来自客户端的请求,并将其存储到 etcd 中。Kubernetes API Server 主要作用是提供 Kubernetes 各类资源对象(如 Pod、Deployment、Service等)的增、删、改、查及 Watch 等 HTTP REST 接口,是集群内各个功能模块直接数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。
CKA matlab
09-10
在这个引用中,CKA是模拟中的一个参数,表示Kc*Ka。该参数在传递函数表达式中用于计算系统的传递函数。根据给出的传递函数表达式,总的传递函数X0(s)可以表示为GXi(s)*Xi(s)/GML(s)*ML(s)。其中GXi(s)表示Xi(s)对ML(s)的传递函数,GML(s)表示ML(s)对X0(s)的传递函数。CKA参数用于计算这些传递函数的系数。所以CKA在这里是一个用于计算传递函数的中间变量。而"matlab"是指这段代码是使用Matlab软件进行仿真的。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

也言

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值