【容器】K8s RBAC介绍

最新推荐文章于 2024-04-20 07:30:00 发布
最新推荐文章于 2024-04-20 07:30:00 发布
阅读量736 收藏 10
点赞数 6
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44479465/article/details/135364126
版权

认识RBAC

RBAC(基于角色的访问控制)是一种将权限分配给用户和服务的方法,基于他们的角色来确定他们可以访问和修改的资源。K8s使用RBAC作为来访请求鉴权的机制之一。

场景:访问K8s接口时的认证和鉴权

某些场景下,我们需要与K8s API Server交互,以获取或变更集群中资源的状态。我们知道,访问K8s API Server是需要认证,鉴权,准入控制,审计四个步骤的。
在这里插入图片描述

其中认证(password,Service account token,X509 客户端证书认证),鉴权(节点授权,RBAC,ABAC)的信息需要客户端在请求中携带。因此,为了请求K8s API,首先我们需要从K8s获取认证,鉴权信息。K8s为我们准备了这样一份信息: kubeconfig file。该文件在每一个可正常执行kubectl的K8s节点机的/root/.kube/config。获取这个文件后,我们可以使用如下样例代码列举K8s特定命名空间中的所有deployments:

from kubernetes import client, config

def list_deployments(namespace):
    # Load the kubeconfig file
    config.load_kube_config('/root/.kube/config')

    # Create an instance of the API class
    apps_v1 = client.AppsV1Api()
    
    print(f"Listing deployments in namespace: {namespace}")
    
    # List deployments
    deployments = apps_v1.list_namespaced_deployment(namespace)
    for deployment in deployments.items:
        print(deployment.metadata.name)

# Replace 'your_namespace' with the desired namespace
list_deployments('your_namespace')

通过这种方式获取访问K8s所需的认证,鉴权信息方便有效。不过有安全隐患,在后面的章节我们会通过分析这个文件的内容,解析安全隐患在哪里。在此之前,需先了解K8s RBAC(Role Based Access Control)的基础知识。

RBAC中的resource和verb

RBAC中resource是可以被操作的资源对象,verbs是操作的动作。

#resource
pods,nodes,deployments,service
#verbs
create, delete, get, list, patch, watch

通过下面的命令可以查看K8s中的资源和对应的动作
kubectl api-resources -o wide
在这里插入图片描述

RBAC中的role

Role定义了对resource做什么verb。

# 删除Pods
Delete Pods
# 更新Service
patch Service

以下Role描述文件定义了该role能够对"deployments", “statefulsets"进行"get”, “watch”, “list”, “patch”, “update”

apiVersion: rbac.authorization.k8s.io/v1
## 这里也可以使用 Role
kind: ClusterRole
metadata:
  name: deploy-cluster-role
rules:
- apiGroups: ["apps"]
  resources: ["deployments", "statefulsets"]
  verbs: ["get", "watch", "list", "patch", "update"]

RBAC中的ServiceAccount

以下yaml创建一个ServiceAccount(testapp)。绑定该ServiceAccount的应用使用该身份与K8s集群进行交互。

apiVersion: v1
kind: ServiceAccount
metadata:
  name: testapp
  # change to desired namespace
  namespace: default

RBAC中的RoleBinding

RoleBinding将ServiceAccount绑定到Role上。表示应用对资源的操作。
以下yaml把Role:deploy-cluster-role绑定到ServiceAccount:testApp上

apiVersion: rbac.authorization.k8s.io/v1
## 这里也可以使用 RoleBinding
kind: ClusterRoleBinding
metadata:
  name: deploy-role-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: deploy-cluster-role
subjects:
- kind: ServiceAccount
  name: testapp
  namespace: default

小结

至此了解了RBAC的基本元素Resource,Verb,Role,ServiceAccount,RoleBinding。并了解了这些概念在K8s中的落地。下篇我们介绍具体的实践。

bee_yyy
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s入门介绍k8s多master多noede安装部署教程
07-28
K8S是在Borg的基础上开发出来的轻量级容器编排工具。 Kubernetes架构是master/node模式:K8S集群至少需要一个主节点(Master)和多个工作节点(Worker),Master节点是集群的控制节点,负责整个集群的管理和控制,主要...
k8s中部署prometheus的镜像
03-23
本文将详细介绍如何在k8s环境中部署Prometheus的镜像。 一、Prometheus概述 Prometheus由Google的Brendan Burns等开发,后来成为Cloud Native Computing Foundation(CNCF)的毕业项目。它以灵活的数据模型、强大的...
Kubernetesk8s)权限管理RBAC详解
匠人精神,持之以恒!
10-16 8148
文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制(以ServiceAccount展开讲解)1)介绍2)Role和ClusterRole3)RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1)User1、创建K8S 用户2、对用户授权2)Group1、创建K8S 用户和用户组2、对组授权3)ServiceAccount4)为ServiceAccount生成Tok
k8s rbac
SHELLCODE_8BIT的博客
03-10 1324
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
k8s - 安全认证(RBAC
栋院
03-18 2969
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
K8s RBAC认证授权深度解析
最新发布
博客虽小,世界尽在其中
04-20 2087
随着Kubernetes云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1029
K8s上的RBAC设计和实现方式说明
k8s容器集群讲义.zip
11-29
KubernetesK8s容器集群讲义】 Kubernetes,简称K8s,是由Google设计并开源的一个容器编排系统,旨在自动化容器化应用程序的部署、扩展和管理。K8s提供了一种标准化的方式来运行分布式应用,使得在云环境和...
K8S及镜像容器安全架构设计
10-17
K8S 及镜像容器安全架构设计 Kubernetes 安全架构设计是当前云计算和容器化技术中非常重要的一部分。该架构设计旨在提供一个安全、可靠、可扩展的容器化平台,以满足企业对安全和合规性的要求。 认证和授权 ...
k8s集群环境搭建资源
10-27
8. **安全性**:k8s提供了RBAC(Role-Based Access Control)进行权限管理,通过Role和RoleBinding来定义用户或用户组的权限。此外,还有NetworkPolicy来控制Pod间的网络通信。 9. **日志、监控和调试**:k8s集群...
kubernetes系列】KubernetesRBAC
margu_168的博客
07-11 1126
k8s的权限控制在实际工作中不那么经常使用,但是却是很重要的,我们需要深入理解才能很好的解决某些问题。在我们现目前的了解中,常用的授权插件有以下几种: Node(节点认证) ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) Webhook(基于http回调机制的访问控制)kubernetes 集群相关所有的交互都需要通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,Kubernetes的授权是基于插件形式的,在1.5版的时候引入了基于角色的访问控制(Role-Bas
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1741
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权。
K8S RBAC介绍
小单的博客专栏
03-19 5356
Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。所以RBAC也就...
kubernetesk8s)之rbac权限管理详解
qq_44823950的博客
08-14 2157
kubernetesk8s)之rabc权限
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 545
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC
K8sRBAC模型
s1056481432的博客
03-16 199
RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群中的身份有两种:用户(User)和服务账号(Service Account),其中service account是k8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa中的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。
k8s || RBAC
qq_60271706的博客
04-09 205
APIServer需要对客户端做认证,使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config 这里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。人--》k8s客户端(一般用:kubectl) ------>API Server。目的:防止k8s里的pod(会运行程序)能随意获取整个集群里的信息和访问集群里的资源。
K8S安全-RBAC
运维@小兵的博客
11-22 1395
文章目录一、Kubernetes 安全框架`1.1.鉴权(Authentication)``1.2.授权(Authorization)``1.3.准入控制(Admission Control)`二、基于角色的权限访问控制:RBAC`2.1.角色``2.2.角色绑定``2.3.主体(subject)`三、为devops用户授权访问default命名空间权限`3.1.用K8S CA签发客户端证书`3.1.1.[Shell脚本安装cfssl](https://blog.csdn.net/anqixiang/art
青云K8s集群运维实战与故障处理
青云高效运维K8S集群.pdf是一份于2019年10月发布的文档,专注于介绍最新的容器技术和青云在KubernetesK8S)集群运维方面的高效实践。Kubernetes容器编排平台,其设计和架构至关重要,本文档详细阐述了K8S的核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值