kubernetes API 访问控制在阿里云容器服务(ACK)上的实践

最新推荐文章于 2024-02-08 09:10:05 发布
最新推荐文章于 2024-02-08 09:10:05 发布
阅读量903 收藏
点赞数
文章标签: kubernetes rbac ACK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43970890/article/details/90409021
版权
本文介绍了在阿里云容器服务ACK上实现Kubernetes API的访问控制,重点讨论了RBAC的使用。通过创建和管理角色、角色绑定,详细展示了如何为子账号授予不同级别的权限,并提供了验证和权限检查的方法,降低了使用门槛。
摘要由CSDN通过智能技术生成

提起K8s API的访问控制,很多同学应该都会想到RBAC,这是K8s用来做权限控制的方法,但是K8s对API的访问控制却不止于此,今天我们就来简单介绍下K8s的访问控制以及ACK如何利用这套方法提供便捷的访问控制管理

访问控制简要说明

访问控制
控制流程如上图所示,我们今天关注点在前两步,也就是图中的AuthenticationAuthorization

Authentication做的是身份校验,Authentication支持的方法包括X509 Client Certs、Password、Plain Tokens、Bootstrap Tokens 和 JWT Tokens,今天我们要实践的就是X509 Client Certs校验方式

API server启动时传入--client-ca-file=SOMEFILE即可启用证书校验,参数指定的文件中必须包含至少一个CA证书用于校验传入的客户端证书。
验证通过后,证书中的common name(CN)字段会作为请求的username,organization(O)字段作为请求的group

Authorization做的是授权鉴定,一个请求通过Authentication后,会带着一个user和group,Authorization做的就是判断请求的方法(verb)和对象(object)是否在user和group的权限范

最低0.47元/天 解锁文章
阿里云技术
关注
【云原生】阿里云Kubernetes(ACK)简介
CN_Eden
01-28 2488
使用阿里云容器服务ACK产品前,需要注意以下使用限制:购买容器服务ACK实例前,需要进行实名认证。只有当您账户余额和代金券总值不小于100元时,才可创建按量付费的阿里云资源。在创建ACK集群以后,暂不支持以下项:变更集群的VPC。变更托管集群为专有集群,以及变更Pro版集群为标准版集群。变更容器网络插件。变更存储插件。在不同命名空间下迁移应用。ACK集群中ECS实例的限制如下:创建的ECS实例目前支持按量付费和包年包月,其他资源(例如负载均衡)为按量付费。
比心云平台基于阿里云容器服务 ACK 的弹性架构实践
阿里云云栖号
05-09 1453
简介:本文主要探讨比心云平台如何利用阿里云容器服务 ACK,来构建应用弹性架构,进一步优化计算成本。 作者:韩韬|比心技术 前言 应用容器化改造后,不可避免地会面临这样一个问题:Kubernetes 集群的 Node 资源配置不足会导致 Pod 无法及时运行,购买过多的 Node 又会导致资源的闲置浪费。 那么如何利用 Kubernetes容器编排能力和云上资源的灵活性及规模化优势,来保证业务的高弹性、低成本? 本文主要探讨比心云平台如何利用阿里云容器服务 ACK,来构建应用弹性架构,进一..
阿里云Kubernetes容器服务上体验Knative
测试0901-1
01-29 252
概述 Knative Serving是一种可缩放至零、请求驱动的计算运行环境,构建在 Kubernetes 和 Istio 之上,支持为 serverless 应用、函数提供部署与服务。Knative Serving的目标是为Kubernetes提供扩展功能,用于部署和运行无服务器工作负载。 下面讲述一下在阿里云Kubernetes容器服务基础之上,如何...
阿里ACK容器pod日志收集及规划
novice的博客
04-11 879
阿里云中自带的日志收集插件是logtail,但和fluentd的安装配置上都类似的,具体的差异,可点击此处参考别人的文章。 Logtail的部署方式有DaemonSet方式和Sidecar方式,由于sidecar耗费系统资源,实际日志量没有达到一定层级,此处采用DaemonSet的方式部署。需要收集的是Java spring boot日志,应用场景是有多个项目,每个项目有dev、sit、prod三个环境都需要收集日志。每个项目的每个环境放到k8s中一个单独的namespace下。Java微服务日志配置文件在
阿里云容器服务ack从零到一部署springboot应用
qq_35270686的博客
10-05 2274
随着业务,及数据爆发增长,很多公司都开始吧应用向云原生迁移,靠自己来运维这一套庞大的k8s应用,实在是有点费劲。选择这个模板就行,可以吧把代码扫描和maven单元测试给去掉,因为这里是做测试就没表保留这两个哈,避免浪费时间。这里分两步,第一是java构建,需要选择对应的jdk版本,我用的是11,大家按照自己代码里面的版本来选择就行。配置好后选择对应的命名空间,yaml路径(代码里面yaml文件的路径),变量(yaml文件里面设置的变量)这里选择之前开通的镜像仓库即可,注意选择对应的仓库。
阿里云容器服务ACK产品介绍.pdf
05-11
### 阿里云容器服务ACK产品介绍 ...综上所述,阿里云容器服务ACK通过提供全面的技术支持和丰富的功能特性,能够满足不同规模企业的容器化需求,并帮助企业实现更加高效、稳定的云原生应用部署与管理。
阿里云国际版旗舰级分销商-容器服务 ACK介绍
Unirech专业靠谱云服务分销商
12-12 1061
容器服务Kubernetes版,简称容器服务ACK,是全球首批通过Kubernetes一致性认证的服务平台,提供高性能的容器应用管理服务,支持企业级Kubernetes容器化应用的生命周期管理,让您轻松高效地在云端运行Kubernetes容器化应用。ACK包含了专有版Kubernetes(Dedicated Kubernetes)、托管版Kubernetes(Managed Kubernetes)、Serverless Kubernetes三种形态,方便按需选择。
基于阿里云ACK创建K8S集群
李大能
02-05 652
容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理;2021年成为国内唯一连续三年入选Gartner公共云容器报告的产品,2022年国内唯一进入Forrester领导者象限。其整合了阿里云虚拟化、存储、网络和安全能力,助力企业高效运行云端Kubernetes容器化应用。官方地址:https://www.aliyun.com/product/kubernetes?
kubernetes 集群的访问-证书方式
qq_37377136的博客
09-29 594
集群的访问官方文档 使用 kubeconfig 文件组织集群访问 简介: 在将集群、用户和上下文定义在一个或多个配置文件中之后,用户可以使用 kubectl config use-context命令快速地在集群之间进行切换 用于配置集群访问的文件有时被称为 kubeconfig 文件。 这是一种引用配置文件的通用方式, 并不意味着存在一个名为 kubeconfig 的文件。 准备开始前提: 1、Kubernets集群 2、kubectl 的版本应该与集群的 API 服务器使用同一次版本号(kubectl
k8s故障修复:部分服务无法通过k8s集群宿主机ip+NodePort访问
qq_42063179的博客
08-05 5914
部分服务无法通过k8s集群宿主机ip+NodePort访问
kubernetes(k8s) API调用方式
doublewe的博客
02-09 6941
1. kubectl 反向代理 // 在 master 节点上,输入如下命令 kubectl proxy // 如果需要指定端口,则添加 自带非安全端口8080 安全端口6443
阿里云——容器服务ACK
aliyunduoduo的博客
12-02 3501
容器服务 Kubernetes 版(简称 ACK)整合了阿里云虚拟化、存储、网络和安全能力,为您提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。
ACK-产品介绍
最新发布
little_startoo的博客
02-08 1740
ACK-产品介绍
如何查看rabbitmq收到的消息_RabbitMQ如何保证消息的可靠投递?
weixin_31281613的博客
12-30 3744
在这里插入图片描述Spring Boot整合RabbitMQgithub地址:https://github.com/erlieStar/rabbitmq-examplesSpring有三种配置方式基于XML基于JavaConfig基于注解当然现在已经很少使用XML来做配置了,只介绍一下用JavaConfig和注解的配置方式RabbitMQ整合Spring Boot,我们只需要增加对应的starte...
在openshift 上安装helm 和 sparkoperator
zhixingheyi_tian的博客
07-06 720
总体安装步骤参照我的blog https://blog.csdn.net/zhixingheyi_tian/article/details/89152767 但是权限方面会遇到一些问题 helm init # helm init Creating /root/.helm Creating /root/.helm/repository Creating /root/.helm/repositor...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值