k8s基于RBAC的权限控制,赋予pod访问k8s API的权限

最新推荐文章于 2024-04-20 07:30:00 发布
最新推荐文章于 2024-04-20 07:30:00 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: k8s 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47729423/article/details/115667939
版权

部署在k8s集群中的应用,有些需要拥有访问k8s API服务器的权限,比如说获取当前命名空间下的pod,svc等资源。k8s通过RBAC规则来赋予用户、pod、组相应的权限。其中pod使用一种称为service accounts的机制,下面我们来实践如何为pod中的应用添加权限。

首先需要在命名空间中创建serviceaccount资在这里插入图片描述
yaml详细内容如下:
在这里插入图片描述
接着创建role(角色),role中包含角色所具有的功能,yaml内容如下:
在这里插入图片描述
yaml中定义了角色有获取default命名空间中pods的权限。
然后定义rolebinding(角色绑定),将角色绑定到上面创建的serviceaccount,
在这里插入图片描述
yaml文件内容如下:
在这里插入图片描述
创建一个pod进行测试,yaml文件如下
在这里插入图片描述
文件中serviceaccountname的值为上述绑定了角色的serviceaccount。

serviceaccount关联了一个configmap,绑定到pod之后,configmap被挂载到pod中,/var/run/secrets/kubernetes.io/serviceaccount/目录下包含三个文件,分别是
在这里插入图片描述
pod可以通过使用ca.crt和token来访问API服务器。
进入容器中,使用curl命令来获取default命名空间下pod,在get请求中带上ca.crt和token,如下
在这里插入图片描述
返回结果的部分如下:
在这里插入图片描述
API服务器返回了pod的详细信息。
除了pod,svc等属于某个命名空间的资源外,还可以获取非命名空间级别的k8s集群,包括pv等,需要使用到clusterrole(集群角色)资源,采用clusterrolebinding(集群角色绑定)将集群角色绑定到serviceaccount上。
serviceaccount,role和rolebinding必须属于某个命名空间下。假如A命名空间下的应用想要访问到B命名空间下的资源,可以将A命名空间下的serviceaccount绑定到B命名空间下的role。也可以将A命名空间下的serviceaccount绑定到clusterrole,让其可以获取所有命名空间下的资源。
clusterrole还可以允许访问非资源型的URL,如下图所示:
在这里插入图片描述
为了方便使用,k8s提供了一些clusterrole,部分如下图所示:
在这里插入图片描述用户可以直接使用k8s提供的集群角色,从命名中可以看出,这些集群角色包括pod,pv,pvc,job,namespace等k8s本身提供的资源,可以根据不同的需求选择不同的集群角色,还可以将多个角色绑定到一个serviceaccount上。

dgbstarsky
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限...
k8s 中基于RBAC 控制pod访问权限
weixin_43632687的博客
04-10 387
role设置 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] # "" 标明 core API 组 resources: ["pods"] verbs: ["get", "watch", "list"] rolebinding apiVersion: rbac.authorization.
Kubernetes RBAC 为指定用户授权访问不同命名空间权限
小楼一夜听春雨,深巷明朝卖杏花
01-18 7114
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2056
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
kubernetes API 访问控制之:授权
看,未来的博客
06-02 1168
可以使用kubectl、客户端库方式对REST API访问Kubernetes的普通账户和Service帐户都可以实现授权访问APIAPI的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 2823
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
k8s(三)pod管理
vpx_srio的博客
05-10 624
通过本文章,可以对pod的基本概念、创建、排错、调度等方面有基本的认识。
如何从 Pod访问 Kubernetes 集群API
学海无涯苦作舟的博客
10-07 1374
Kubernetes API 是您检查和管理集群操作的途径。您可以使用Kubectl CLI、工具(如curl)或流行编程语言的官方集成库来使用 API。该 API 也可用于集群中的应用程序。Kubernetes Pod 会自动获得对 API访问权限,并且可以使用提供的服务帐户进行身份验证。您通过使用注入的环境变量和证书文件来执行交互,以从您选择的客户端建立连接。
k8s中部署prometheus的镜像
03-23
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus rules: - apiGroups: [""] resources: ["services", "pods", "endpoints", "nodes"] verbs: ["get", "list", "watch"]...
最新搭建高可用K8S集群文档 (基于K8S 1.15)
10-19
- **使用RBAC(Role-Based Access Control)**:设置角色和权限,确保只有授权的用户和service account可以操作资源。 - **证书管理**:Kubernetes使用TLS证书进行安全通信,定期更新和管理这些证书是必要的。 ...
k8s视频教程入门到进阶(基于V1.19版本).rar
04-06
9. **安全性与访问控制**:理解RBAC(Role-Based Access Control)权限管理和网络策略。 10. **扩展与自动化**:学习Operator模式和Helm等工具,实现应用的自动化部署和管理。 本套视频教程将详细讲解以上知识点,...
k8s dashboard v2.7.0离线镜像包
10-15
4. **安全访问控制**:Kubernetes Dashboard 支持 RBAC(Role-Based Access Control)授权,确保只有授权的用户或服务账户能访问特定资源。 5. **多语言支持**:Dashboard 提供多种语言界面,便于不同地区的用户...
k8s集群环境搭建资源
10-27
8. **安全性**:k8s提供了RBAC(Role-Based Access Control)进行权限管理,通过Role和RoleBinding来定义用户或用户组的权限。此外,还有NetworkPolicy来控制Pod间的网络通信。 9. **日志、监控和调试**:k8s集群...
个人学习k8s相关资料
最新发布
06-01
5. **安全与认证**:Kubernetes提供RBAC(Role-Based Access Control)权限管理,以及证书和秘钥管理,确保集群安全。 以上就是Kubernetes的基础知识框架。通过深入学习和实践这些内容,你可以更好地理解如何在...
calico flannel k8s 安装yaml文件
03-05
Kubernetesk8s集群中,网络插件起着至关重要的作用,它们负责为Pod之间提供网络通信。在本话题中,我们将探讨两个流行的网络插件:Calico和Flannel,以及如何通过YAML文件来安装它们。YAML是Kubernetes的主要...
K8s-ceph-csi-rbd连接资源
06-15
确保这些镜像能够被K8s集群访问,避免部署时出现因找不到镜像导致的错误。 总之,K8s-ceph-csi-rbd连接资源涉及到Kubernetes的存储管理、Ceph RBD块存储以及CSI接口的使用。通过正确配置和部署,Kubernetes可以方便...
k8s权限配置(ServiceAccount、Role、ClusterRole)
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
Kubernetesk8s权限管理RBAC详解
ss810540895的博客
02-09 1441
kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。启用RBAC,需要在 apiserver 中添加参数–authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6+版本都默认开启了RBAC。AlwaysDeny:表示拒绝所有请求,一般用于测试。:允许接收所有请求。
使用集群管理员权限pod内部访问K8S API
JosephThatwho的博客
04-07 666
pod内部访问K8S api时,可能会遇到角色权限不能访问的情况,如下: root@curl:/# curl -H "Authorization: Bearer $TOKEN" https://kubernetes { "kind": "Status", "apiVersion": "v1", "metadata": { }, "status": "Failure", "message": "forbidden: User \"system:serviceaccount:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值