KUBERNETES之Kubernetes Workloads(Kubernetes 作业管理)五

最新推荐文章于 2024-04-28 13:44:57 发布
最新推荐文章于 2024-04-28 13:44:57 发布
阅读量205 收藏
点赞数
分类专栏: KUBERNETES
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46108954/article/details/105565196
版权

文章目录

3.RBAC

在 Kubernetes 项目中,负责完成授权(Authorization)工作的机制,就是 RBAC(Role-Based Access Control)
​RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

ABAC(Attribute Based Access Control)基于属性的访问控制

 

3.1 基本概念

 

3.1.1 Role

角色,它其实是一组规则,定义了一组对 Kubernetes API 对象的操作权限。

Role是一系列的权限的集合,例如一个Role可以包含读取 Pod 的权限和列出 Pod 的权限, ClusterRole 跟 Role 类似,但是可以在集群中全局使用。

Role只能授予单个namespace 中资源的访问权限。以下是Role“default”namespace 中的示例,用于授予对pod的访问权限:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: mynamespace
  name: example-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

允许“被作用者”,对 mynamespace 下面的 Pod 对象,进行 GET、WATCH 和 LIST 操作。

 

3.1.2 Subject:

被作用者,既可以是“人”,也可以是“机器”,也可以是你在 Kubernetes 里定义的“用户”。

 

3.1.3 RoleBinding:

定义了“被作用者”和“角色”的绑定关系。

RoleBinding是将Role中定义的权限授予给用户或用户组。它包含一个subjects列表(users,groups ,service accounts),并引用该Role。RoleBinding在某个namespace 内授权,ClusterRoleBinding适用在集群范围内使用。

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-rolebinding
  namespace: mynamespace
subjects:
- kind: User
  name: example-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: example-role
  apiGroup: rbac.authorization.k8s.io

 

3.1.4&3.1.5

​ 对于非 Namespaced(Non-namespaced)对象(比如:Node),或者,某一个 Role 想要作用于所有的 Namespace 的时候,API 对象的用法跟 Role 和 RoleBinding 完全一样,少了Namespace

 

 

3.1.4 ClusterRole
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-clusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

ClusterRole授权 >= Role授予(与Role类似),但ClusterRole属于集群级别对象:

  • 集群范围(cluster-scoped)的资源访问控制(如:节点访问权限)
  • 非资源类型(如“/ healthz”)
  • 所有namespaces 中的namespaced 资源(如 pod)

 

3.1.5 ClusterRoleBinding
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-clusterrolebinding
subjects:
- kind: User
  name: example-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: example-clusterrole
  apiGroup: rbac.authorization.k8s.io

 

3.2 所有权限

verbs: [“get”, “list”, “watch”, “create”, “update”, “patch”, “delete”]

 

3.3 细分授权
rules:
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["my-config"]
  verbs: ["get"]

 

3.4 User&内置用户

 

3.4.1 User

Kubernetes 里的“User”,也就是“用户”,只是一个授权系统里的逻辑概念。它需要通过外部认证服务,比如 Keystone,来提供

 

3.4.2 内置用户

ServiceAccount 特殊的secret

  1. 权限分配过程

1.定义一个 ServiceAccount

apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: mynamespace
  name: example-sa

​ 

2.定义RoleBinding分配权限

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-rolebinding
  namespace: mynamespace
subjects:
- kind: ServiceAccount
  name: example-sa
  namespace: mynamespace
roleRef:
  kind: Role
  name: example-role
  apiGroup: rbac.authorization.k8s.io

 

3.定义Role

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: mynamespace
  name: example-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

 

4.部署api对象

kubectl create namespace mynamespace
kubectl create -f svc-account.yaml
kubectl create -f role-binding.yaml
kubectl create -f role.yaml

 

5.用户pod申明使用SA

apiVersion: v1
kind: Pod
metadata:
  namespace: mynamespace
  name: sa-token-test
spec:
  containers:
  - name: nginx
    image: nginx:1.7.9
  serviceAccountName: example-sa

 

  1. 查询相关
kubectl describe pod sa-token-test -n mynamespace
kubectl describe sa default

 

  1. 用户组
    ServiceAccount对应的用户名:
    system:serviceaccount:<Namespace名字>:<ServiceAccount名字>

对应的内置“用户组”的名字:system:serviceaccounts:<Namespace名字>

例子

subjects:
- kind: Group
  name: system:serviceaccounts:mynamespace
  apiGroup: rbac.authorization.k8s.io

 

  1. 内置的ClusterRole
  • view
    只读权限
  • cluster-admin
    整个k8s项目拥有最高权限
  • 查看命令
kubectl get clusterroles
kubectl describe clusterrole system:kube-scheduler

 

3.5 RBAC介绍

RBAC 认为授权实际上是WhoWhatHow 三元组之间的关系,也就是WhoWhat 进行How 的操作,也就是“主体”对“客体”的操作。

Who:是权限的拥有者或主体(如:User,Role)。

What:是操作或对象(operation,object)。

How:具体的权限(Privilege,正向授权与负向授权)。

然后 RBAC 又分为RBAC0、RBAC1、RBAC2、RBAC3

 

3.6 RBAC0、RBAC1、RBAC2、RBAC3简单介绍。
  • RBAC0:是RBAC的核心思想。
  • RBAC1:是把RBAC的角色分层模型。
  • RBAC2:增加了RBAC的约束模型。
  • RBAC3:其实是RBAC2 + RBAC1。

 

3.6.1 RBAC0,RBAC的核心

在这里插入图片描述

 

3.6.2 RBAC1,基于角色的分层模型

在这里插入图片描述

 

3.6.3 RBAC2、是RBAC的约束模型

在这里插入图片描述

 

3.6.4 RBAC3、就是RBAC1+RBAC2

在这里插入图片描述

匡夆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Getting Started with Kubernetes
05-19
Kubernetes 已成为现代云原生应用的基础,被广泛应用于微服务架构、持续集成/持续部署(CI/CD)流程以及大规模分布式系统的管理。 **核心概念** 1. **节点(Nodes)**:Kubernetes 集群中的工作单元,通常是运行在...
KUBERNETESKubernetes Workloads(Kubernetes 作业管理)四
kuangfeng的博客
04-16 238
KUBERNETES的daemonset和job
实现prometheus对k8的监控
Richardlygo的博客
09-19 1583
Kubenetes是一款由Google开发的开源容器编排工具,其作为容器领域事实的标准,可以极大的简化应用的管理和部署的复杂度。如何对Kubernetes自身的各种组件还有运行在Kubernetes集群上的各种容器做到更好的监控,prometheus的出现提供了一个很好的解决方案。 Prometheus是一个开源监控系统,它会根据配置的任务周期性的采集指定目标上的指标,并将数据存储为时间序列数据...
云原生(十八) Kubernetes篇之Kubernetes(k8s)工作负载_kubernetes工作负载
2401_84166896的博客
04-28 811
CronJob 按照预定的时间计划(schedule)创建 Job(注意:启动的是Job不是Deploy,rs)。无论怎样我们可以用一组Pod来表示一个应用,也就是一个工作负载。基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!工作负载是运行在 Kubernetes 上的一个应用程序。格式定义的时间计划,周期性地创建 Job 对象。工作负载(Workloads)控制一组Pod。Pod又是一组容器(Containers)
kubernetes核心概念 Pod
weixin_58519482的博客
06-27 686
参考链接: https://kubernetes.io/zh/docs/concepts/workloads/pods/Pod(豌豆荚) 是Kubernetes集群管理(创建、部署)与调度的最小计算单元,表示处于运行状态的一组容器。Pod不是进程,而是容器运行的环境。一个Pod可以封装一个容器或多个容器(主容器或sidecar边车容器)一个pod内的多个容器之间共享部分命名空间,例如:Net Namespace,UTS Namespace,IPC Namespace及存储资源。
Kubernetes系列】Workloads(工作负载)
致力于不留技术债务cuizb.top
11-07 410
工作负载是在 Kubernetes 上运行的应用程序。在 Kubernetes 中,无论你的负载是由单个组件还是由多个一同工作的组件构成, 你都可以在一组Pod中运行它。在 Kubernetes 中,Pod代表的是集群上处于运行状态的一组 容器 的集合。Kubernetes Pod 遵循预定义的生命周期。例如,当在你的集群中运行了某个 Pod,但是 Pod 所在的 节点 出现致命错误时, 所有该节点上的 Pod 的状态都会变成失败。
Kubernetes 1.20.0 image 离线安装包
最新发布
06-02
Kubernetes的核心概念包括节点(Node)、工作负载(Workloads)、服务(Services)、存储(Storage)和网络(Networking)等。在1.20.0版本中,我们关注以下几个关键知识点: 1. **新特性与改进**:每个新版本都带来了一些新...
kubernetes应用文档学习教程
03-22
Kubernetes 是一个开源的容器编排系统,用于自动化容器的部署、扩展和管理。它提供了一个平台无关的方式来部署、扩展和管理容器化应用程序。本文档将对 Kubernetes 的一些基本概念和组件进行介绍和讲解。 一、集群...
kruise:在Kubernetes上自动化应用程序管理
02-02
它更新Kubernetes依赖关系并切换到新的控制器运行时框架。 它还支持一个称为Advanced DaemonSet的新控制器,请检查以获得详细信息。介绍OpenKruise(官方网站: ://openkruise.io)现在由 (CNCF)作为沙盒级项目...
KUBERNETESKubernetes Workloads(Kubernetes 作业管理)一
kuangfeng的博客
04-08 544
KUBERNETESKubernetes Workloads(Kubernetes 作业管理):Pod的内部结构,以及在单容器、单容器单节点、多节点多容器的管理模式。pod的实现原理、引入容器的目的、pod的两种运行方式。
2021-06-25 Kubernetes作业管理
rabies的博客
06-27 125
Docker容器的本质: Namespace做隔离,Cgroups做限制,rootfs做文件系统,Poid是Kubernetes中的最小调度单位。 Kubernets是未来云计算系统中的操作系统,而容器是其中的进程。 Pod是一组共享了某些资源的容器,Pod里的所有容器,共享的是同一个Network Namespace,并且可以声明同一个Volume。 凡是调度、网络、存储以及安全相关的属性,基本上是Pod级别的。凡是与容器的Linux Namespace相关的属性,也一定是Pod级别的。 Nod
KUBERNETESKubernetes Workloads(Kubernetes 作业管理)二
kuangfeng的博客
04-08 352
Kubernetes Workloads(Kubernetes 作业管理):pod模版中关键字介绍,pod的生命周期,projected volume,加密模式下的secret,容器的健康检查与恢复机制,为什么要把pod作为调度单位、
Kubernetes authorization
zhixingheyi_tian的博客
07-05 278
Service Account A service account provides an identity for processes that run in a Pod. When you create a pod, if you do not specify a service account, it is automatically assigned the default service...
【云原生 | Kubernetes篇】Kubernetes(k8s)工作负载(九)
m0_54252387的博客
06-26 483
关于Pod深入介绍已经在之前文章讲述过,有不了解的同学可以再看看以下文章【云原生 | Kubernetes篇】深入了解Pod(六)_Lansonli的博客-CSDN博客关于Deployment深入介绍已经在上一篇文章讲述过,有不了解的同学可以看看以下文章【云原生 | Kubernetes篇】深入了解Deployment_Lansonli的博客-CSDN博客关于这块内容****已经在之前文章讲述过,有不了解的同学可以再看看以下文章【云原生 | Kubernetes篇】深入RC、RS、DaemonSet、Sta
KUBERNETESKubernetes Workloads(Kubernetes 作业管理)三
kuangfeng的博客
04-16 368
KUBERNETES的controller、deployment、replicaset、statefulset
云计算大作业之Kubernetes初试体验
LindseyLove的博客
04-25 1891
在第一篇大作业报告中,已经成功安装了VMware WorkStation16pro以及Ubuntu20.04,因此在本篇文章中不再重复说明,详情可以看此链接:https://blog.csdn.net/LindseyLove/article/details/124401943?spm=1001.2014.3001.5501 单机版Kubernetes需要:kubectl、minikube,其中,kubectl是K8S的命令行客户端,通过命令行操作K8S,minikube即单机版的Kubernetes服务端
Kubernetes 作业管理之 DaemonSet
牧码杭城
01-14 597
本文是对 Kubernetes 作业管理中的容器化守护进程相关设计的理解,由于 DaemonSet 这个知识点相对较为容易理解,所以主要是作的张磊在极客时间上《深入剖析 Kubernetes》课程的笔记。 文章目录Why(为什么要有 DaemonSet)What(DaemonSet 是什么)How(DaemonSet 如何保证每个 Node 上有且只有一个被管理的 Pod)使用实例1、创建...
Kubernetes 最佳实践:正常终止
谷歌开发者
07-09 4981
发布人:开发技术推广工程师 Sandeep Dinesh谈到分布式系统,故障处理是关键。Kubernetes 利用控制器来监控系统状态并重新启动已停止执行的服务,可有效解...
Kubernetes核心概念与组件详解
Kubernetes(简称 k8s)的目标是管理和自动化容器化的应用程序在集群中的部署、扩展和运行。 集群节点在 Kubernetes 中扮演着核心角色,它们聚合了所有节点的 CPU 和内存资源,能够自动选择合适的节点来运行工作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值