OpenShift 4 - RBAC基于Role的访问授权

已于 2024-03-15 11:37:00 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: OpenShift 4 Role RBAC 文章标签: OpenShift Security
于 2020-08-06 11:46:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/107823961
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
RBAC
2 篇文章 0 订阅
订阅专栏
Role
1 篇文章 0 订阅
订阅专栏

OpenShift 4.x HOL教程汇总

文章目录

RBAC相关概念

在OpenShift中和RBAC(基于角色的访问控制)包括以下相关对象。
身份主体(Subject):一个user、group或serviceaccount。
规则(Rule):定义了对于指定object可以做的操作(操作包括:get, list, create, update, delete, deletecollection, watch)。注意:Rule定义的是许可类型的操作,而不能定义禁止类型的操作。
角色(Role):用一组 Rule 定义权限,分为特定命名空间范围 Role 和集群范围的 ClusterRole。
绑定(Binding):关联一个身份实体和Role。
在这里插入图片描述

Role

隶属于集群的Role(Cluster Role)

OpenShift中包括以下几种缺省的ClusterRole:

  • admin:可管理除了项目quota外其它所有项目包括的资源对象。
  • basic-user:可以获得项目和用户的基本信息。
  • cluster-admin:可以对任何项目进行任何操作。
  • cluster-status:可以获得集群状态信息的角色。
  • edit:除了Role和Binding外,可以修改项目中其它对象。
  • self-provisioner:可以创建属于自己的项目。
  • view:不能对项目中的对象进行任何更改,但是可以查看项目中的对象。
  1. 查看集群范围包括的所有ClusterRole,其中有我们常用的admin、cluster-admin等ClusterRole。
$ oc get clusterrole
NAME                                                                   AGE
admin                                                                  9d
advanced-cluster-management.v2.0.0-csbg7                               2d6h
advanced-cluster-management.v2.0.0-cv7p2                               2d6h
advanced-cluster-management.v2.0.0-lbf42                               2d6h
advanced-cluster-management.v2.0.0-q7dxx                               2d6h
aggregate-olm-edit                                                     9d
aggregate-olm-view                                                     9d
alertmanager-main                                                      9d
applications.app.k8s.io-v1beta1-admin                                  2d6h
applications.app.k8s.io-v1beta1-crdview                                2d6h
applications.app.k8s.io-v1beta1-edit                                   2d6h
applications.app.k8s.io-v1beta1-view                                   2d6h
basic-user                                                             9d
channels.apps.open-cluster-management.io-v1-admin                      2d6h
channels.apps.open-cluster-management.io-v1-crdview                    2d6h
channels.apps.open-cluster-management.io-v1-edit                       2d6h
channels.apps.open-cluster-management.io-v1-view                       2d6h
checlusters.org.eclipse.che-v1-admin                                   9d
checlusters.org.eclipse.che-v1-crdview                                 9d
checlusters.org.eclipse.che-v1-edit                                    9d
checlusters.org.eclipse.che-v1-view                                    9d
cloud-credential-operator-role                                         9d
cluster-admin  
。。。
  1. 查看名为cluster-admin的ClusterRole,可以看到其中的PolicyRule部分通过“通配符*”让该角色可以对所有资源进行所有操作。
$ oc describe clusterrole cluster-admin
Name:         cluster-admin
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  *.*        []                 []              [*]
             [*]                []              [*]

隶属于项目的Role(Local Role)

  1. 查看一个项目中包含的本地Role。
$ oc new-project my-project
$ oc get role -n my-project
No resources found in my-project namespace.
  1. 在指定项目中创建一个新的Local Role。
$ oc create role podview --verb=get --resource=pod -n my-project
role.rbac.authorization.k8s.io/podview created
$ oc get role -n my-project
NAME      AGE
podview   22s
$ oc describe role podview -n my-project
Name:         podview
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  pods       []                 []              [get]
  1. 查看所有项目中包含的本地Role。
$ oc get role -A
NAMESPACE                                               NAME                                                              AGE
default                                                 prometheus-k8s                                                    9d
kube-public                                             system:controller:bootstrap-signer                                9d
kube-system                                             aws-creds-secret-reader                                           9d
kube-system                                             extension-apiserver-authentication-reader                         9d
kube-system                                             prometheus-k8s                                                    9d
kube-system                                             system::leader-locking-kube-controller-manager                    9d
kube-system                                             system::leader-locking-kube-scheduler                             9d
kube-system                                             system:controller:bootstrap-signer                                9d
kube-system                                             system:controller:cloud-provider                                  9d
kube-system                                             system:controller:token-cleaner                                   9d
kube-system                                             system:openshift:leader-election-lock-kube-controller-manager     9d
kube-system                                             system:openshift:leader-locking-openshift-controller-manager      9d
openshift-apiserver-operator                            prometheus-k8s                                                    9d
openshift-apiserver                                     prometheus-k8s                                                    9d
openshift-authentication-operator                       prometheus-k8s                                                    9d
openshift-authentication                                prometheus-k8s                                                    9d
openshift-cloud-credential-operator                     prometheus-k8s                                                    9d
openshift-cluster-machine-approver                      prometheus-k8s
。。。
  1. 查看以上结果中同属于openshift-machine-api项目的不同Role的PolicyRule。确认名为machine-api-operator的Role能查看相关资源,而名为machine-api-controllers的Role能创建和修改相关资源。
$ oc describe role -n openshift-machine-api machine-api-controllers
Name:         machine-api-controllers
Labels:       <none>
Annotations:  include.release.openshift.io/self-managed-high-availability: true
              include.release.openshift.io/single-node-developer: true
PolicyRule:
  Resources                            Non-Resource URLs  Resource Names  Verbs
  ---------                            -----------------  --------------  -----
  *.healthchecking.openshift.io        []                 []              [*]
  *.machine.openshift.io               []                 []              [*]
  events                               []                 []              [create watch list patch]
  configmaps                           []                 []              [get list watch create update patch delete]
  secrets                              []                 []              [get list watch create update patch delete]
  leases.coordination.k8s.io           []                 []              [get list watch create update patch delete]
  baremetalhosts.metal3.io             []                 []              [get list watch update patch]
  baremetalhosts.metal3.io/finalizers  []                 []              [update]
  baremetalhosts.metal3.io/status      []                 []              [update]

 
$ oc describe role -n openshift-machine-api machine-api-operator
Name:         machine-api-operator
Labels:       <none>
Annotations:  include.release.openshift.io/self-managed-high-availability: true
              include.release.openshift.io/single-node-developer: true
PolicyRule:
  Resources                              Non-Resource URLs  Resource Names  Verbs
  ---------                              -----------------  --------------  -----
  services                               []                 []              [create watch get list patch]
  servicemonitors.monitoring.coreos.com  []                 []              [create watch get list patch]
  secrets                                []                 []              [get create]
  configmaps                             []                 []              [get list watch create update patch delete]
  daemonsets.apps                        []                 []              [get list watch create update patch delete]
  deployments.apps                       []                 []              [get list watch create update patch delete]
  *.machine.openshift.io                 []                 []              [list watch]

RoleBinding

角色绑定(RoleBinding)是将角色中定义的权限赋予一个或者一组用户。 它包含若干主体(用户,组和SerIveAccount)的列表和对这些主体所获得的角色的引用。 我们可以使用 RoleBinding 在指定的命名空间中执行授权, 或者在集群范围的命名空间使用 ClusterRoleBinding 来执行授权。

查看RoleBinding

  1. 查看openshift-machine-api项目中的名为cluster-autoscaler的Role,这个Role定义了它能对什么资源做哪些操作。
$ oc describe role cluster-autoscaler -n openshift-machine-api
Name:         cluster-autoscaler
Labels:       k8s-addon=cluster-autoscaler.addons.k8s.io
              k8s-app=cluster-autoscaler
Annotations:  <none>
PolicyRule:
  Resources   Non-Resource URLs  Resource Names               Verbs
  ---------   -----------------  --------------               -----
  configmaps  []                 []                           [create]
  configmaps  []                 [cluster-autoscaler-status]  [delete get update]
  1. 查看openshift-machine-api项目中的名为cluster-autoscaler的RoleBinding,它将名为cluster-autoscaler的Role和名为cluster-autoscaler的SerIveAccount类型用户绑定,使得cluster-autoscaler的SerIveAccount拥有了在名为cluster-autoscaler的Role的权限。
$ oc describe rolebinding cluster-autoscaler -n openshift-machine-api
Name:         cluster-autoscaler
Labels:       k8s-addon=cluster-autoscaler.addons.k8s.io
              k8s-app=cluster-autoscaler
Annotations:  <none>
Role:
  Kind:  Role
  Name:  cluster-autoscaler
Subjects:
  Kind            Name                Namespace
  ----            ----                ---------
  ServiceAccount  cluster-autoscaler  openshift-machine-api

操作管理RoleBinding的2种方法

方法1

  1. 针对当前项目,将Local Role和身份主体绑定或解绑。
$ oc adm policy add-role-to-user <ROLE> <USER> 
$ oc adm policy add-role-to-user <ROLE> -z <SERVICEACCOUNT>            # 将将当前项目的SERVICEACCOUNT和ROLE绑定
$ oc adm policy add-role-to-group <ROLE> <GROUP>
$ oc adm policy remove-role-from-user <ROLE> <USER>
$ oc adm policy remove-role-from-user <ROLE> -z <SERVICEACCOUNT>
$ oc adm policy remove-role-from-group <ROLE> <GROUP>                  
$ oc adm policy remove-user <USER>                                     # 将GROUP的所有Binding从当前项目中删除
$ oc adm policy remove-group <GROUP>                                   # 将GROUP的所有Binding从当前项目中删除
  1. 将Cluster Role和身份主体绑定或解绑。
$ oc adm policy add-cluster-role-to-user <CLUSTERROLE> <USER>
$ oc adm policy add-cluster-role-to-group <CLUSTERROLE> <GROUP>
$ oc adm policy remove-cluster-role-from-user <CLUSTERROLE> <USER>
$ oc adm policy remove-cluster-role-from-group <CLUSTERROLE> <GROUP>
  1. 将user1用户和my-project项目的podview角色绑定。然后查看自动生成的rolebinding的详细信息,确认它关联了podview角色和user1用户。
$ oc adm policy add-role-to-user podview user1 --role-namespace=my-project -n my-project
role.rbac.authorization.k8s.io/podview added: "user1"
$ oc describe rolebinding podview
Name:         podview
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  podview
Subjects:
  Kind  Name   Namespace
  ----  ----   ---------
  User  user1

方法2

  1. 还可通过以下方式创建RoleBinding对象,关联一个Role和多个身份主体。
$ oc create rolebinding <ROLEBINDING-NAME> --clusterrole=<CLUSTER-ROLE> --user=<USER-1> --user=<USER-2> --group=<GROUP-1> --group=<GROUP-2>
$ oc create rolebinding <ROLEBINDING-NAME> --role=<ROLE> --user=<USER-1> --user=<USER-2> --group=<GROUP-1> --group=<GROUP-2>
  1. 删除或编辑RoleBinding对象。
$ oc edit rolebinding <ROLEBINDING-NAME>
$ oc delete rolebinding <ROLEBINDING-NAME>

查看RBAC

查看当前用户的RBAC

  1. 列出当前用户对指定资源的操作能力。(理论上是该用户所属所有Role所包括的Rule集合)
$  oc auth can-i --list --namespace=my-serviceaccount
Resources                                                            Non-Resource URLs        Resource Names                                           Verbs
applications.app.k8s.io                                              []                       []                                                       [* create update patch delete get list watch]
channels.apps.open-cluster-management.io                             []                       []                                                       [* create update patch delete get list watch]
deployables.apps.open-cluster-management.io                          []                       []                                                       [* create update patch delete get list watch]
clustermanagers.operator.open-cluster-management.io                  []                       []                                                       [* create update patch delete get list watch]
checlusters.org.eclipse.che                                          []                       []                                                       [* create update patch delete get list watch]
*.*                                                                  []                       []                                                       [*]
                                                                     [*]                      []                                                       [*]
。。。

查看哪些用户具备特定RBAC

  1. 查看哪些身份主体拥有一个指定的Rule能力。注意:首先要在OpenShift中创建一个名为user1的用户。
$ oc login -u user1 -p <PASSWORD>
$ oc new-project user1-project
$ oc policy who-can list pods -n user1-project
resourceaccessreviewresponse.authorization.openshift.io/<unknown>
 
Namespace: user1-project
Verb:      list
Resource:  pods
 
Users:  opentlc-mgr
        system:admin
        system:kube-controller-manager
        system:kube-scheduler
        system:serviceaccount:kube-system:attachdetach-controller
        system:serviceaccount:kube-system:cronjob-controller
        system:serviceaccount:kube-system:daemon-set-controller
        system:serviceaccount:kube-system:deployment-controller
        system:serviceaccount:kube-system:endpoint-controller
。。。
        system:serviceaccount:user1-project:deployer
        user1
Groups: system:cluster-admins
        system:cluster-readers
        system:masters

参考

https://docs.openshift.com/container-platform/4.5/authentication/using-rbac.html
https://www.cnblogs.com/sammyliu/p/10083659.html

dawnsky.liu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
RBAC权限系统分析、设计与实现
╱/.独﹄無㈡oоΟ的博客
02-14 968
目前,使用最普遍的权限管理模型正是RBAC(Role-Based Access Control)模型,这些文章也主要是介绍基于RBAC的权限管理系统,这篇文章从RBAC是什么、如何设计RBAC两部分来介绍。 我所负责的项目涉及到角色权限的问题全部是通过RBAC来实现的,以前只是出于熟练使用的层面,现在学习一下RBAC更深层次的理论知识。 一、RBAC是什么 1、RBAC模型概述 RBAC认为权限授权的过程可以抽象地概括为:Who是否可以对What进行How的访问操作,并对这个逻辑表达式进行判断是否为.
OpenShift CLI Cheatsheet OpenShift命令行速查表
锐意工作室
08-10 1656
文章目录OpenShift CLI Cheatsheet前言OpenShift CLI Cheatsheet普通命令登录oc loginoc logoutoc whoami项目管理oc projectoc projectsoc statusoc new-project应用构建和部署oc new-appoc processoc new-buildoc start-buildoc cancel-buildoc rolloutoc exposeoc set envoc set triggersoc set pro
理解OpenShift(4):用户及权限管理
weixin_34212189的博客
12-08 985
理解OpenShift(1):网络之 Router 和 Route 理解OpenShift(2):网络之 DNS(域名服务) 理解OpenShift(3):网络之 SDN 理解OpenShift(4):用户及权限管理 理解OpenShift(5):从 Docker Volume 到 OpenShift Persistent Volume   ** 本文基于 OpenShift 3.11...
OpenShift 4 - 全图形化 Step-by-Step 部署容器应用(附视频)
多恩斯基的博客
04-01 2182
文章目录webbackendmongodbhealth参考 parks-workshop web quay.io/openshiftroadshow/parksmap backend http://nationalparks-parks-workshop.apps.cluster-b327.b327.sandbox824.opentlc.com/ws/info/ mongodb $ oc create -n openshift -f https://raw
OpenShift 4 - 基于Memory的HPA
多恩斯基的博客
04-04 331
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.6环境中验证 安装并发压力工具 $ yum install httpd 部署测试应用和HPA $ oc new-project memory-hpa $ oc apply -f manifests/frontend.yaml $ oc create -f manifests/frontend-v1-memory-hpa.yaml 对应用并发压力测试 $ ab -n 10000 -c 40 https://
OpenShift 4 - 了解Secret
多恩斯基的博客
09-30 1296
文章目录关于Secret对象三种途径创建Secret对象Secret对象的结构创建Secret对象一般结构Secret通过命令创建Secret通过YAML创建Secret属于dockerconfigjson或dockercfg类型的pull-secretbasic-auth类型secretssh-auth类型secret引用或使用Secret中内容在Pod中通过挂载存储使用Secret在Pod中通过环境变量使用Secret在Pod中使用pull_secret在ServiceAccount中使用secret和
openshift-utils:几本帮助您轻松应对OpenShift Container Platform的游戏手册
03-29
3. **权限和角色管理**:在OpenShift中,角色和权限是通过Role-Based Access Control (RBAC)进行管理的。`apply-roles.sh`可能用于分配或修改用户或服务帐户的角色。 4. **日志和监控**:`get-pod-logs.sh`可以帮助...
Red Hat OpenShift Administration .zip
12-31
平台提供了Role-Based Access Control (RBAC) 来管理用户权限,确保只有授权的用户可以访问特定资源。另外,OpenShift还支持Secrets和Config Maps,用于安全地存储敏感信息,如数据库密码或API密钥。在Java应用中,...
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 3877
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
okd4-deployment-configuration
03-28
- RBAC(Role-Based Access Control):配置角色、角色绑定和用户,确保资源访问的安全性。 - Network Policies:定义网络规则,控制节点间以及外部网络的通信。 - Secrets与ConfigMaps:用于安全地存储敏感信息...
安装程序:安装OpenShift 4.x集群
02-16
OpenShift安装程序 支持平台 (仅开发) 快速开始 首先,安装所有。 克隆此存储库。 然后使用以下命令构建openshift-install二进制文件: hack/build.sh 这将创建bin/openshift-install 。 然后可以调用此二进制文件来创建OpenShift集群,如下所示: bin/openshift-install create cluster 安装程序将显示一系列提示,提示用户特定信息,并对所有其他内容使用合理的默认值。 在非交互式上下文中,可以通过来绕过提示。 如果遇到问题,请参阅。 连接到集群 完成时, openshift-install二进制文件将打印有关连接到新集群的详细信息,这些文件也可在.openshift_install.log文件中找到。 输出示例: INFO Waiting 10m0s for the opens
OPENSHIFT-4-执行命令-实验
拙能胜巧
11-08 646
1.检查机器并确认环境正常。登陆OCP。创建项目。 2.获取所有的资源列表信息。 3.查看pod的日志,显示出现错误。 4.获取事件信息并按照指定规则排序,显示在抓取镜像的时候发生错误,详细显示pod的信息。 5.获取镜像文件的配置信息并以yaml格式输出,找到容器所包含的镜像。 6.查看pod列表信息,仍然node2节点在等待容器创建。登陆到node2节点,手动抓取镜像。 7.登陆到...
OpenShift 4 - 配置OpenShift集群日志环境EFK
多恩斯基的博客
04-17 1576
文章目录安装Elastic Search Operator安装Cluster Logging Operator查看Kibana OpenShift 4 缺省安装完是没有提供基于ElasticSesrch-Fluentd-Kibana(EFK)的集群日志环境。我们可以通过以下步骤在OpenShift上配置出基于EFK的集群日志运行环境。 安装Elastic Search Operator 以下步骤采...
OpenShift 4 - 提权运行容器
多恩斯基的博客
07-12 670
Docker缺省可以使用root身份运行容器中服务。出于安全,这在OpenShift中缺省是不被允许的。不过可以通过设置OpenShift的SCC的缺省配置,来运行这种不能正常运行的容器镜像。 运行HTTP容器 $ oc new-project http $ oc new-app --docker-image=httpd:2.4.17 查看pod状态,确认已经是“CrashLoopBackOff”状态。 $ oc get pod -w NAME READY STATUS
OpenShift 4 - 使用辅助安装器安装单节点 OpenShift (视频)
多恩斯基的博客
02-27 1605
我们可以在虚机或裸机上安装单节点 OpenShift,其中在 Far Edge 环境中运行更适合裸机部署单节点 OpenShift,而 Development 或 Testing 环境可以用虚机部署单节点 OpenShift。在虚机中安装好的单节点 OpenShift 同红帽的 OpenShift Local 环境非常相近,它们都是运行在虚机中,而且都是只有一个节点。OpenShift 辅助安装器既可用来安装单节点 OpenShift,也可用来安装标准的多节点 OpenShift 集群。
运行在笔记本上的OpenShift4环境
老菜的博客
06-21 596
Red Hat CodeReady Containers(crc)用于在笔记本/台式机上构建一个最小化的 OpenShift4 开发/测试环境。 开箱即用,网络顺畅的话,10分钟就可以搞定。支持win10,macos,linux。将虚拟机和运行在虚拟机中的 OpenShift 打包提供给用户。 基本介绍 硬件需求 4 physical CPU cores 9 GB of free memory 35 GB of storage space 支持操作系统版本 Windows Windows 10 Fall
OpenShift 4 之使用持久化存储
多恩斯基的博客
12-07 920
没使用持久化存储 创建一个项目,然后在其中部署一个应用,再生成应用的Route,最后获取Route访问地址。 $ oc new-project my-storage $ oc new-app https://github.com/liuxiaoyu-git/image-uploader.git $ oc expose svc image-uploader $ oc get route imag...
OPENSHIFT-4-执行命令-一般性问题排错
拙能胜巧
11-08 517
1.首先检查机器并确认环境正常。登陆OCP。创建一个项目。 2.创建一个应用。查看带有php标签的相关状态,发现显示镜像无法找到,而前面的说明里有镜像的对应路径。重新创建一个应用。获取pod列表信息。 3.查看pod的日志,发现没有输出显示。 4.查看事件列表,发现有记录显示pod处于failed状态。 5.登陆master节点查看节点状态,发现node1和node2都是notready状...
rbac(Role-Based Access Control基于角色的权限控制)
XiaoPawnYe的博客
07-23 408
1.数据库设计 rbac (Role-Based Access Control基于角色的权限控制) 1.表结构设计 2.添加models from django.db import models class Permission(models.Model): """ 权限表 """ title = models.CharField(verbose_name='标题', max_length=32) url = models.CharField(ver
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值