k8s资源对象(7)认证鉴权以及dashboard

最新推荐文章于 2024-01-30 10:00:00 发布
最新推荐文章于 2024-01-30 10:00:00 发布
阅读量460 收藏 7
点赞数 8
分类专栏: 云原生 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45212547/article/details/135692963
版权

1.部署dashboard

#1.下载
wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml

kubectl 

#2.创建ingress代理访问dashboard
[root@master dashboard]# vim ingress-dashboard.yaml 
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: ingress-test
  annotations:
    kubernetes.io/ingress.class: "nginx"
    ingress.kubernetes.io/ssl-passthrough: "true"
    nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"
    nginx.ingress.kubernetes.io/rewrite-target: /$2
  namespace: kubernetes-dashboard
spec:
  rules:
  - http:
      paths:
      - pathType: ImplementationSpecific
        path: /dashboard(/|$)(.*)
        backend:
          service:
            name: kubernetes-dashboard
            port:
              number: 443
              

#ingress可以看我之前的博客
[root@master dashboard]# kubectl apply -f ingress-dashboard.yaml
[root@master dashboard]# kubectl get ingress
NAME           CLASS    HOSTS         ADDRESS          PORTS   AGE
ingress-test   <none>   www.ik8s.io   192.168.10.105   80      5d19h

#浏览器访问输入:https://192.168.10.105:80/dashboard/

2.权限管理

2.1User和ServiceAccount

kubernetes中账户分为:UserAccounts(用户账户) 和 ServiceAccounts(服务账户) 两种:
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;
k8s客户端(一般用:kubectl) 请求API Server(APIServer需要对客户端的请求做认证,认证成功才会执行

使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config 这里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。

ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就ServiceAccount账户;
ServiceAccount仅局限它所在的namespace,每个namespace创建时都会自动创建一个default service account;创建Pod时,如果没有指定Service Account,Pod则会使用default Service Account。

2.2RBAC

RBAC 是基于角色的访问控制(Role-Based Access Control),即在RBAC中先权限与角色进行关联,然后把用户设置为角色的成员从而继承角色中的权限,即把权限授权给角色,而把角色管理至用户,后期新增用户时只要把新用户和角色进行关联即可,删除用户的权限只要从角色移除对用户的关联即可,而修改权限只要修改角色的权限即可对角色内的所有用户同时生效。

RBAC API 声明了四种 Kubernetes 对象:RoleClusterRoleRoleBindingClusterRoleBinding

2.3Role 和 ClusterRole

RBAC 的 RoleClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的(不存在拒绝某操作的规则)。

Role 总是用来在某个名字空间内设置访问权限; 在你创建 Role 时,你必须指定该 Role 所属的名字空间。

与之相对,ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同(Role 和 ClusterRole) 是因为 Kubernetes 对象要么是名字空间作用域的,要么是集群作用域的,不可两者兼具。

ClusterRole 有若干用法。你可以用它来:

  1. 定义对某名称空间域对象的访问权限,并将在个别名称空间内被授予访问权限;
  2. 为名称空间作用域的对象设置访问权限,并被授予跨所有名称空间的访问权限;
  3. 为集群作用域的资源定义访问权限。

如果你希望在名称空间内定义角色,应该使用 Role; 如果你希望定义集群范围的角色,应该使用 ClusterRole。

观点:Role是名称空间级别的资源,推荐主要还是使用ClusterRole,使用RoleBinding进行绑定。

Role示例

**role-demo.yaml **

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: dev #要授权的名称空间
  name: role-demo
rules:
- apiGroups: ["*"]
  resources: ["pods","pods/exec"] #授权的资源对象
  verbs: ["*"] #授权可以执行所有操作
  #RO-Role
  #verbs: ["get", "watch", "list","create"]#授权的部分操作
- apiGroups: ["extensions", "apps/v1"]
  resources: ["deployments"]
  #verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
  #RO-Role
  verbs: ["get", "watch", "list"]

clusterRole-demo.yaml ClusterRole示例

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: clusterRole-demo
rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
  resources: ["namespaces"]
  verbs: ["get", "watch", "list"]

2.4案例一(User授权)

创建一个用户,仅拥有对dev命名空间下的pods资源操作权限,采用RoleBinding绑定CLusterRole的方式来实现。

大致实现思路:

1.生成用户的证书文件key

2.通过apiserver生成证书请求

3.通过k8s的api的ca证书签发用户的证书请求

4.配置k8s设置集群、创建用户、配置上下文信息

1)创建用户账号

#1.创建证书文件
[root@master pki]# umask 077
[root@master pki]# openssl genrsa -out demouser.key 2048
Generating RSA private key, 2048 bit long modulus
....+++
....................+++
e is 65537 (0x10001)

#2.使用apiserver的证书签发证书请求
	#申请签名
[root@master pki]# openssl req -new -key demouser.key -out demouser.csr -subj "/CN=demouser/O=demoGroup"
[root@master pki]# ll demo*
-rw------- 1 root root  915 Jan 18 16:17 demouser.csr
-rw------- 1 root root 1675 Jan 18 15:57 demouser.key

	#签发证书
[root@master pki]# openssl x509 -req -in demouser.csr -CA ca.crt  -CAkey ca.key  -CAcreateserial -out demouser.crt -days 3650
Signature ok
subject=/CN=demouser/O=demoGroup
Getting CA Private Key

3.配置集群、用户、上下文信息
#配置集群
[root@master pki]# kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.10.101:6443
Cluster "kubernetes" set.

[root@master pki]# kubectl config set-credentials demouser --embed-certs=true --client-certificate=/etc/kubernetes/pki/demouser.crt --client-key=/etc/kubernetes/pki/demouser.key
User "demouser" set.

[root@master pki]# kubectl config set-context demouser@kubernetes --cluster=kubernetes --user=demouser
Context "demouser@kubernetes" created.

# 切换账户到demouser
[root@master pki]# kubectl config use-context demouser@kubernetes
Switched to context "demouser@kubernetes".
[root@master pki]# kubectl get pods -n dev
Error from server (Forbidden): pods is forbidden: User "demouser" cannot list resource "pods" in API group "" in the namespace "dev"

#切换回Kubernetes用户
[root@master pki]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".

2)创建ClusterRole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: clusterRole-demouser
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get","list","watch"]
---
#RoleBinding 用来绑定用户和Role/ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: RoleBinding-demouser
  namespace: dev
#声明绑定的信息
subjects:
- kind: User
  namespace: dev
  name: demouser      # 'name' 是区分大小写的
roleRef:
  kind: ClusterRole
  name: clusterRole-demouser
  apiGroup: rbac.authorization.k8s.io

3)切换用户为demouser验证

[root@master pki]# kubectl config use-context demouser@kubernetes
Switched to context "demouser@kubernetes".
[root@master pki]# kubectl get pods -n dev
NAME                                 READY   STATUS    RESTARTS   AGE
configmap-volume-demo3               1/1     Running   0          3d2h
nginx-deployment-5cb65f68db-7kqqs    1/1     Running   0          6d
nginx-deployment-5cb65f68db-mgmfw    1/1     Running   0          6d
nginx-deployment-5cb65f68db-mhs9x    1/1     Running   0          6d
pod-resources                        1/1     Running   0          141m
tomcat-deployment-7ff7bd5bcd-4b2h4   1/1     Running   0          6d
tomcat-deployment-7ff7bd5bcd-bp47m   1/1     Running   0          6d
tomcat-deployment-7ff7bd5bcd-z8f2v   1/1     Running   0          6d

#其他的资源依然没有权限
[root@master pki]# kubectl get pods -n default
Error from server (Forbidden): pods is forbidden: User "demouser" cannot list resource "pods" in API group "" in the namespace "default"

2.5案例二(ServiceAccount授权)

创建serviceaccount,仅拥有对dev命名空间下的pods资源操作权限,采用RoleBinding绑定CLusterRole的方式来实现。通过dashboard来实现

1)创建clusterRole-demo-sa.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: clusterRole-demo-sa
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get","list","watch"]

2)创建ServiceAccount-demo.yaml

apiVersion: v1
kind: ServiceAccount
metadata:
  name: demo-user
  namespace: dev

**3)创建ClusterRoleBinding.yaml **

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: cluster-rolebinding-sa-demo
  namespace: dev
subjects:
- kind: ServiceAccount
  namespace: dev
  name: demo-user      # 'name' 是区分大小写的
roleRef:
  kind: ClusterRole
  name: clusterRole-demo-sa
  apiGroup: rbac.authorization.k8s.io

4)为demo-user创建token,登录验证

[root@master role]# kubectl create  token demo-user  --namespace dev

浏览器访问验证

https://192.168.10.105/dashboard/#/pod?namespace=dev

运维研究僧
关注
专栏目录
1.k8s:架构,组件,基础概念
鹏哥哥Aaa
06-26 421
k8s:架构,组件,基础概念
二十、K8S-1-权限管理RBAC详解
最新发布
爱吃西红柿的博客
02-10 1887
在RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
K8s】安全认证DashBoard
m0_59598029的博客
01-30 897
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是必要的。安全性就是让所有的Kubernetes客户端以一个合法的身份和合法的步骤来访问我们的系统。
k8s安装dashboard面板
gsls200808的专栏
01-22 2038
查看token,早期版本内置一个用户并且可以通过命令查看,新版本需要手动创建用户并且需要通过api接口查看。这里节点是192.168.3.85 svc的NodePort端口为30432。停在pull镜像那一步,这个国内下载到60M左右速度下降到非常慢。查看pod时一直在ContainerCreating。考虑在外面pull或者其他机器pull后导入。新版本,创建用户后查看token。通过describe命令查看。根据查看到的节点和端口访问。pull导出导入命令如下。
09--在k8s中部署Dashboard可视化面板
Wsjm666的博客
02-14 330
09--在k8s中部署Dashboard可视化面板
配置 TiDB Dashboard 使用 SSO 登录
weixin_42241611的博客
10-01 1031
TiDB Dashboard 支持基于协议的单点登录 (Single Sign-On)。配置 TiDB Dashboard 启用 SSO 登录后,你可以通过配置的 SSO 服务进行登录鉴权,无需输入 SQL 用户名和密码即可登录到 TiDB Dashboard
k8s1.13/k8s-dashboard(证书+token)
lihongbao80的专栏
06-04 8415
官方参考 (在本文中,我们将找到如何使用Kubernetes的服务帐户机制创建新用户,如何授予该用户admin权限以及如何使用与该用户绑定的承载令牌登录Dashboard。) 显示集群信息,可以通过运行kubectl cluster-info 来查看master-ip和apiserver-port。 kubectl cluster-info 查看绑定的用户 [root@k8s01 ~]# ku...
k8s安全机制(认证授权)
BushRo
03-28 2121
文章目录Kubernetes 安全机制Authentication 认证https证书认证需要认证的节点两种类型安全性说明证书颁发kubeconfigServiceAccountSecret 与 SA 的关系授权 Kubernetes 安全机制 Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介,也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernete
k8s之ServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
K8s基本概念
King_DJF的博客
02-06 1800
文章目录1. Kubernetes简介1.1 是什么1.2 用途2. Kubernetes组件结构与基本概念2.1 结构2.2 核心组件2.2.1 K8s API server2.2.2 Controller Manager2.2.3 Scheduler调度器2.2.4 kubelet2.2.5 kubernetes Service Proxy2.3 基本概念3. 资源对象定义基本与常用命令3.1...
Chrome下可用的的Kubernetes Dashboard证书的制作
01-08
在前面的文章中介绍了Dashboard 2.0.0的部署和使用方法,但是在Chrome 58+的版本无法使用,这篇文章用于memo和整理一下对应方法。 证书请求文件:CSR [root@host131 k8s]# cat dashboard-csr.config [ req ] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [ dn ] C = CN ST = LiaoNing L = DaLian O = K8S OU = System
Kubernetes详解(五十七)——Dashboard令牌访问控制
永远是少年
05-11 2809
今天继续给大家介绍Linux运维相关知识,本文主要内容是Dashboard令牌访问控制。 一、Dashboard访问控制 二、生成访问证书 三、ServiceAccount创建 四、token访问
[云原生k8s] k8s的CA证书创建和使用
weixin_71429850的博客
11-03 2405
Etcd 是一个分布式键值存储系统,Kubernetes 使用 Etcd 进行数据存储,所以先准备 一个 Etcd 数据库,为解决 Etcd 单点故障,应采用集群方式部署,这里使用 3 台组建集 群,可容忍 1 台机器故障,当然,你也可以使用 5 台组建集群,可容忍 2 台机器故障。ETCD_INITIAL_CLUSTER_STATE:加入集群的当前状态,new 是新集群,existing 表示加入 已有集群。ETCD_INITIAL_ADVERTISE_PEER_URLS:集群通告地址。
K8s服务管理service、Dashboard、角色与授权
m0_73770890的博客
01-14 409
K8S服务管理、Ingress安装与配置、Dashboard安装、创建用户与角色授权
DashBoard-身份验证
weixin_33739523的博客
08-19 1094
dashboard1.7.1版本之后,新增了用户登录认证的功能。 默认dashboard会跳转到登录页面: 我们可以看到dashboard提供了Kubeconfig和token两种登录方式,我们可以直接跳过或者使用本地的Kubeconfig文件进行登录,可以看到会跳转到如下页面: 这是由于该用户没有对default命名空间的访问权限。 身份认证 登录dashboard 的时候支持...
Kubernetes安装系列之Dashboard的kubeconfig登录方式
知行合一 止于至善
04-02 6239
在上篇文章介绍了目前最新版本的dashbaord插件的安装以及利用token登录的方法,这篇文章整理来介绍一下使用kuberconfig进行登录的方法。
k8s部署dashboard
kali_yao的博客
02-07 3322
1.dashboard概述 ●Dashboard是基于网页的Kubernetes用户界面。您可以使用Dashboard容器应用部署到Kubernetes集群中,也可以对容器应用排错,还能管理集群资源。您可以使用Dashboard获取运行在集群中的应用的概览信息,也可以创建或者修改Kubernetes资源( 如Deployment,Job,DaemonSet等等) ●Dashboard同时展示了Kubernetes集群中的资源状态信息和所有报错信息 官网: https://github.com/
K8s 安装dashboard
weixin_42555971的博客
04-01 193
K8s 安装dashboard
Dashboard使用自定义证书
迷途的攻城狮
08-07 9914
Dashboard使用自定义证书 Kubernetes Dashboard的默认配置中,挂载的是一个空证书,浏览器访问时会一直提示非安全连接,访问时需要添加例外,部分情况下特别麻烦: 为解决此问题,我们需要为Dashboard提供完整的TLS证书。这里使用自签名证书来演示: 1、创建自签名CA [root@k8s-master tls]# pwd /root/kubernetes/...
Hyper-V中为远程K8S集群部署Dashboard:配置国内镜像
本章节将介绍如何在本地通过yaml文件为远程K8s集群安装Dashboard,以监控和可视化集群状态。 首先,为了确保能够从国内镜像源下载Dashboard的Docker镜像,我们需要更新Docker daemon的配置。打开`/etc/docker/...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值