Linux实战笔记-----Kubenetes访问控制

最新推荐文章于 2024-06-13 11:17:08 发布
最新推荐文章于 2024-06-13 11:17:08 发布
阅读量168 收藏
点赞数
文章标签: kubernetes linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47401638/article/details/119346456
版权

kubernetes访问控制

简介:
访问控制分为三种

1.Authentication(认证)
• 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再
进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证
方式。
• Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和
(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存
在,它只是形式上存在。

2.Authorization(授权)
• 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒
绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、
Webhook、Node。默认集群强制开启RBAC。

3.Admission Control(准入控制)
• 用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求
API资源对象进行修改和校验。

访问k8s的API Server的客户端主要分为两类:
• kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。

• pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多。

1、UserAccount与serviceaccount:

创建serviceaccount:
UserAccount与serviceaccount:
• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源
不会做 namespace 隔离, 服务账户是 namespace 隔离的。
• 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉
及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务
创建服务账户 ( 即权限最小化原则 )

kubectl create secret docker-registry myregistrykey --docker-server=reg.westos.org --docker-username=admin --docker-password=westos --docker-email=yakexi007@westos.org
kubectl create serviceaccount admin #创建serviceaccount
kubectl get sa
kubectl describe sa admin

在这里插入图片描述
设置添加secrets到serviceaccount中:

kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name":"myregistrykey"}]}'
kubectl describe sa admin

在这里插入图片描述
把serviceaccount和pod绑定起来:

vim pod.yaml

apiVersion: v1
kind: Pod
metadata:
name: myapp
labels:
app: myapp
spec:
containers:
- name: myapp
image: reg.westos.org/westos/game2048

应用并查看

kubectl apply -f pod.yaml
kubectl get pod

在这里插入图片描述
将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多

kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'serviceaccount/default patched

在这里插入图片描述

创建UserAccount:

cd /etc/kubernetes/pki/
openssl genrsa -out test.key 2048
openssl req -new -key test.key -out test.csr -subj "/CN=test"
openssl x509 -req -in test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out test.crt -days 365
openssl x509 -in test.crt -text -noout

在这里插入图片描述

在这里插入图片描述

kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true
kubectl config view
kubectl config set-context test@kubernetes --cluster=kubernetes --user=test #创建用户
kubectl config use-context test@kubernetes #切换用户

查看pod

kubectl get pod #此时用户通过认证,但还没有权限操作集群资源,需要继续添加授权

在这里插入图片描述

kubectl config use-context kubernetes-admin@kubernetes
vim rbac.yaml

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: myrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]

kubectl apply -f rbac.yaml
kubectl get role

在这里插入图片描述

2、RBAC

RBAC(Role Based Access Control):基于角色访问控制授权。
• 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色
与权限进行关联。
• RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可。
• RBAC包括四种类型:Role、ClusterRole、RoleBinding、
ClusterRoleBinding。

RBAC的三个基本概念 :
• Subject:被作用者,它表示k8s中的三类主体, user, group, serviceAccount
• Role:角色,它其实是一组规则,定义了一组对 Kubernetes API 对象的操作权限。
• RoleBinding:定义了“被作用者”和“角色”的绑定关系。

Role 和 ClusterRole
• Role是一系列的权限的集合,Role只能授予单个namespace 中资源的访问权限。
• ClusterRole 跟 Role 类似,但是可以在集群中全局使用。
RoleBinding实例

vim rbac.yaml
#添加
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default
subjects:
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: myrole
  apiGroup: rbac.authorization.k8s.io

kubectl apply -f rbac.yaml
kubectl get role

在这里插入图片描述

kubectl get rolebindings.rbac.authorization.k8s.io

在这里插入图片描述
切换用户test@kubernetes,可以查看,权限已授予

kubectl config use-context test@kubernetes 
kubectl get pod

在这里插入图片描述
ClusterRole实例:

#rbac添加
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: myclusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

应用后切换至test用户

kubectl apply -f rbac.yaml 
kubectl config use-context test@kubernetes

在这里插入图片描述
此时可以删除pod
在这里插入图片描述
使用rolebinding绑定clusterRole:

#rbac添加
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: rolebind-myclusterrole
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test

应用并查看pod,只能看test自己的
在这里插入图片描述

没事儿我溜达
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubernetes 常用命令
hlgzzw的博客
03-02 1334
运维日常命令 coding……作者可能唠叨会拓展没完没了
k8s1.20.4-高可用集群部署-新增项目-kubernetes安装包和详细文档笔记整理
05-29
此外,Kubernetes还包括了Pods(容器的逻辑分组)、Services(定义如何访问Pods)、Deployments(确保应用副本数)、ConfigMaps和Secrets(用于配置数据)等核心概念。 二、Kubernetes 1.20.4 版本更新 Kubernetes...
k8s--基础--23.3--认证-授权-准入控制--授权
zhou920786312的博客
08-15 640
就是给用户(Users)授予一个角色(Role),那么这个用户就有这个角色的权限。Role是有名称空间的限制的。
Elasticsearch集群安全性:访问控制与加密通信
最新发布
Dxy1239310216的博客
06-13 484
通过实施RBAC、IP过滤、身份验证等访问控制策略,可以限制对集群的访问并防止未经授权的操作。同时,通过启用HTTPS和节点间加密通信,可以确保数据在传输过程中的安全性。然而,随着数据量的增长和安全性需求的提高,如何确保Elasticsearch集群的安全性成为了重要的议题。:通过启用HTTPS,可以为Elasticsearch的RESTful API提供加密的通信通道。:定期审查用户的权限和访问记录,确保没有不必要的权限或异常行为。:定期监控加密通信的状态和性能,并审计任何与加密相关的安全事件。
LinuxKubernetes搭建实践
qq_51228157的博客
09-02 328
kubernetes搭建实践
linux安装最新版kubernetes及使用
国产-达芬奇
02-22 2838
linux安装最新版kubernetes及使用
Kubernetes(k8s)常用指令
qq_43277718的博客
12-04 3106
根据配置文件创建pod kubectl apply -f 配置文件名字 apply :可重复创建容器,如果没有则新建,如果有了则对比并且替换 -f: 引用k8s对象定义文件file,也就是配置文件 根据配置文件删除容器 kubectl delete -f 配置文件的名字 delete:执行删除容器的操作 -f: 引用k8s对象定义文件file,也就是配置文件 获取容器的运行状态以及一些信息 kubectl get pods -A|grep pod名字 get: 获取 pods: 容器 -A:
k8s-1.15.1-搭建和操作-集群搭完后管理操作-kubernetes安装包和文档笔记
05-27
Kubernetes 1.15.1中,你需要准备多台Linux节点,这些节点可以是物理机器或虚拟机。安装前,确保所有节点都符合Kubernetes的系统需求,包括内核版本、网络配置以及必要的依赖软件如Docker。安装通常涉及以下步骤:...
k8s图形管理界面kubord-v3版docker安装-kubernetes安装包和详细文档笔记整理
05-29
k8s图形管理界面kubord_v3版docker安装-kubernetes安装包和详细文档笔记整理
k8s3主1从-1.15.1-高可用搭建-ipvs模式-kubernetes高可用安装包和详细文档笔记整理
05-27
这个资源包“k8s3主1从-1.15.1-高可用搭建-ipvs模式-kubernetes高可用安装包和详细文档笔记整理”显然是一个针对k8s 1.15.1版本的高可用性(HA)集群的搭建指南,特别强调了使用IPVS(IP虚拟服务器)作为服务负载...
k8s-v.1.14.2搭建和操作(安装-web-监控-完成)-kubernetes的kubeadmin高可用包和详细文档笔记
05-27
在本压缩包中,我们聚焦于“k8s-v.1.14.2搭建和操作”的主题,涉及了Kubernetes(简称k8s)的安装、Web界面使用以及监控功能的实现。Kubernetes作为业界领先的容器编排系统,其高可用性(HA)对于生产环境至关重要。...
Kubernetes角色访问控制RBAC和权限规则(Role+ClusterRole)---好文
Vic的博客
11-02 676
Role与ClusterRole在RBACAPI中,一个角色定义了一组特定权限的规则。namespace范围内的角色由Role对象定义,而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。RoleRole对象只能用于授予对某一namespace中资源的访问权限。kindRoleapiVersionmetadatanamespacedefaultnamerules[""]#空字符串""表明使用coreAPIgroupresources。...
k8s-9:k8s调度,亲和,污点,访问控制
Fancyll_Lee的博客
09-03 269
文章目录1. 简介2. Kubernetes调度方法2.1 nodeName2.2 nodeSelector3. 亲和与反亲和3.1 节点亲和3.2 Pod亲和性和反亲和4. 污点与容忍5. k8s访问控制5.1 ServiceAccount5.2 UserAccount 1. 简介 调度器通过Kubernetes的watch机制来发现集群中新创建且未被调度到Node上的Pod。调度器会将发现的每一个未调度的Pod调度到一个合适的Node上运行 Kube-scheduler是kubernetes集群的默认
kubernetes向每个命名空间的默认账户添加ImagePullSecrets
rendongxingzhe的博客
08-06 2271
kubernetes向每个命名空间的默认账户添加ImagePullSecrets,实现自动添加ImagePullSecrets
elasticsearch 访问控制
意识成长的博客
10-18 470
问题: elasticsearch 需要访问控制 还不给钱,买X-Pack 解决: nginx 鉴权 上内容 安装elasticsearch 开放端口9201 只允许本机访问 upstream elasticsearch { server 127.0.0.1:9201; keepalive 15; } server { listen 9200; server_name localhost; #charset koi8-r; ...
kubernetes调度
毕加索的忧伤
03-21 222
kubernetes调度 详情参照官网:https://kubernetes.io/zh/docs/concepts/scheduling-eviction/ nodeName 节点名称调度 # 推送资源清单 kubectl apply -f pod.yml # 查看pod以及 所部署的节点 kubectl get pod -o wide # pod.yaml: # 在节点server3 上部署 nginx 服务 apiVersion: v1 kind: Pod metadata:
k8s常用命令 k8s命令 - kubectl常用命令 kubectl命令 含命令补全 kubectl实用命令 yaml模板 yml模板 dry-run命令
yuezhilangniao的博客
03-16 481
kubectlKubernetes 的命令行工具(CLI),是 Kubernetes 用户和管理员必备的管理工具。 kubectl 提供了大量的子命令,方便管理 Kubernetes 集群中的各种功能。这里不再罗列各种子命令的格式,而是介绍下如何查询命令的帮助 kubectl -h 查看子命令列表 kubectl options 查看全局选项 kubectl --help 查看子命令的帮助 kubectl [command] [PARAMS] -o= 设置输出格
kubectl命令总结
柠是柠檬的檬的博客
08-19 3617
kubectl命令总结
scikit-learn 0.17 学习指南与实战笔记
"scikit-learn 0.17 是一个强大的Python机器学习库,适用于数据挖掘和处理。这个版本的文档提供了丰富的教程、用户指南和相关项目介绍,旨在帮助用户理解和应用scikit-learn。内容包括安装指南、FAQ、支持信息、相关...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值