k8s:UserAccount、ServiceAccount、Role、ClusterRole

已于 2023-09-09 17:26:00 修改
阅读量936 收藏 4
点赞数
文章标签: k8s linux 安全
于 2023-09-07 23:18:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50606361/article/details/132747990
版权

1、一些概念

Rule:规则,一组属于不同 API Group 的操作集合;

Role:角色,用于定义一组对 Kubernetes API 对象操作的一组规则,范围限定在 namespace;

ClusterRole:集群角色,该角色不受 namespace 的限制;

Subject:对象,也就是规则作用的对象;

RoleBinding:将角色和对象进行绑定,范围限定在 namespace;

ClusterRoleBinding:将集群角色和对象进行绑定,不受 namespace 限制

ServiceAccount: 服务账户

2、Useraccount和ServiceAccount介绍

kubernetes中账户分为:UserAccounts(用户账户) 和 ServiceAccounts(服务账户) 两种:
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;
k8s客户端(一般用:kubectl) 请求API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)
  
使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config 这里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。

ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就ServiceAccount账户;
ServiceAccount仅局限它所在的namespace,每个namespace创建时都会自动创建一个default service account;创建Pod时,如果没有指定Service Account,Pod则会使用default Service Account。

3、ServiceAccount使用案例

3.1 创建sa,并绑定到pod

1、创建sa

[root@master ~]# kubectl create sa sa-lihaihui
serviceaccount/sa-lihaihui created
[root@master ~]# kubectl get sa
NAME          SECRETS   AGE
default       1         21d
sa-lihaihui   1         13s
[root@master ~]#

2、创建pod

[root@master ~]# mkdir /RBAC
[root@master ~]# cd /RBAC/
[root@master RBAC]# ls
[root@master RBAC]# 

[root@master RBAC]# cat sa-pod.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: sa-lihaihui
  namespace: default
  labels:
    app: sa-lihaihui
spec:
  serviceAccountName: sa-lihaihui # pod use service accout
  containers:
  - name:  sa-nginx
    ports:
    - containerPort: 80
    image: nginx
    imagePullPolicy: IfNotPresent
[root@master RBAC]# 
[root@master RBAC]# kubectl apply -f sa-pod.yaml 
pod/sa-lihaihui created
[root@master RBAC]# kubectl get pod
NAME                               READY   STATUS    RESTARTS   AGE
sa-lihaihui                        1/1     Running   0          4s

因为pod 会去访问k8s集群的apiserver,所以需要进入到pod里

[root@master RBAC]# kubectl exec -it sa-lihaihui -- bash
root@sa-lihaihui:/# 
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# ls
ca.crt  namespace  token
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# 
执行下面的命令去访问我们的apiserver 

root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount#  curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/namespaces/kube-system
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "namespaces \"kube-system\" is forbidden: User \"system:serviceaccount:default:sa-lihaihui\" cannot get resource \"namespaces\" in API group \"\" in the namespace \"kube-system\"",
  "reason": "Forbidden",
  "details": {
    "name": "kube-system",
    "kind": "namespaces"
  },
  "code": 403
}root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount#

3、对sa做授权

cluster-admin 这是一个权力非常大的clusterrole 集群角色
将default命名空间里的ss-gaoshuo服务账号绑定到 集群角色 cluster-admin 上

root@master RBAC]# kubectl create clusterrolebinding sa-test-lihaihui  --clusterrole=cluster-admin  --serviceaccount=default:sa-lihaihui
clusterrolebinding.rbac.authorization.k8s.io/sa-test-lihaihui created
[root@master RBAC]#

查看有哪些服务账号进行了集群角色绑定

[root@master RBAC]# kubectl get clusterrolebinding |grep lihaihui
sa-test-lihaihui                                       ClusterRole/cluster-admin                                                          2m35s
[root@master RBAC]#

4、再次请求,使用绑定好的集群角色

[root@master RBAC]# kubectl exec -it sa-lihaihui -- bash
root@sa-lihaihui:/# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount#  curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/namespaces/kube-system
{
  "kind": "Namespace",
  "apiVersion": "v1",
  "metadata": {
    "name": "kube-system",
    "uid": "b1b4554f-2ab4-4b88-afac-1eb3a8427607",
    "resourceVersion": "10",
    "creationTimestamp": "2023-08-16T07:25:47Z",
    "managedFields": [
      {
        "manager": "kube-apiserver",
        "operation": "Update",
        "apiVersion": "v1",
        "time": "2023-08-16T07:25:47Z",
        "fieldsType": "FieldsV1",
        "fieldsV1": {"f:status":{"f:phase":{}}}
      }
    ]
  },
  "spec": {
    "finalizers": [
      "kubernetes"
    ]
  },
  "status": {
    "phase": "Active"
  }
}
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount#

可以看到"phase": “Active”,访问成功!

4、自己创建role和clusterrole

1、自己创建一个role

自己赋予role的访问权限

[root@master RBAC]# vim role.yaml
[root@master RBAC]# cat role.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]  
  verbs: ["get", "watch", "list"]
[root@master RBAC]# 
[root@master RBAC]# kubectl apply -f role.yaml 
role.rbac.authorization.k8s.io/pod-reader created
[root@master RBAC]# kubectl get role
NAME         CREATED AT
pod-reader   2023-09-07T03:47:00Z
[root@master RBAC]#

2、sa绑定role

[root@master RBAC]# kubectl create rolebinding sa-test-lihaihui  --role=pod-reader --serviceaccount=default:sa-lihaihui
rolebinding.rbac.authorization.k8s.io/sa-test-lihaihui created

查看已经绑定的rolebinding

[root@master RBAC]# kubectl get rolebinding
NAME               ROLE              AGE
sa-test-lihaihui   Role/pod-reader   28s
[root@master RBAC]#

3、创建一个clusterrole

[root@k8smaster sa]# cat clusterrole.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: secret-reader
rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
  resources: ["secrets"]  #具体的资源对象
  verbs: ["get", "watch", "list"]  #动作
[root@k8smaster sa]# kubectl apply -f clusterrole.yaml 
clusterrole.rbac.authorization.k8s.io/secret-reader created
[root@k8smaster sa]# 
[root@k8smaster sa]# kubectl get clusterrole
secret-reader

4、将sa绑定到clusterrole

[root@master RBAC]# kubectl create clusterrolebinding sa-test-lihaihui-2  --clusterrole=secret-reader  --serviceaccount=default:sa-lihaihui
clusterrolebinding.rbac.authorization.k8s.io/sa-test-lihaihui-2 created

[root@k8smaster sa]# kubectl get clusterrolebinding
NAME                                                   ROLE                                                                               AGE
sa-test-lihaihui                                       ClusterRole/cluster-admin                                                          15m
sa-test-lihaihui-2                                     ClusterRole/secret-reader

5、验证

进入sa-lihaihui启动的pod,去访问apiserver里的pod资源和secret资源

[root@master RBAC]# kubectl get pod
NAME                               READY   STATUS    RESTARTS   AGE
configmap-demo-pod                 1/1     Running   5          19h
configmap-nginx                    1/1     Running   1          19h
mysql                              1/1     Running   4          2d18h
nginx                              1/1     Running   3          2d
nginx-configmap-test               1/1     Running   1          19h
sa-lihaihui                        1/1     Running   0          30m

[root@master RBAC]# kubectl exec -it sa-lihaihui -- bash
root@sa-lihaihui:
root@sa-lihaihui:~# cd /var/run/secrets/kubernetes.io/serviceaccount/
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# 
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat ./token)"  https://kubernetes/api/v1/pods  
root@sa-lihaihui:/var/run/secrets/kubernetes.io/serviceaccount# curl --cacert ./ca.crt  -H "Authorization: Bearer $(cat .token)"  https://kubernetes/api/v1/secrets
XGorgeous
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
k8s中 RBAC中,clusterroleserviceaccount , rolebinding 是什么关系谁先谁后
wlzx059的博客
11-01 900
创建 RoleBinding 或 ClusterRoleBinding:最后,你可以创建 RoleBinding 或 ClusterRoleBinding 来将 ServiceAccountClusterRoleRole 绑定在一起,以授予 Pod 中的进程相应的权限。创建 ServiceAccount:然后,你可以创建一个或多个 ServiceAccount,这些 ServiceAccount将被分配给运行在 Pod 内部的进程。
K8s提权之RBAC权限滥用
Innocence_0的博客
08-11 95
在K8s中RBAC是常用的授权模式,如果在配置RBAC时分配了“过大”资源对象访问权限可导致权限滥用来提权,以至于攻击者扩大战果,渗透集群。如下是一些RBAC相关的笔记。
k8s 带你一步步 创建用户账号(User Account)
最新发布
2401_83739503的博客
05-15 371
为了做好运维面试路上的助攻手,特整理了上百道,让你面试不慌心不跳,高薪offer怀里抱!这次整理的面试题,本份面试集锦涵盖了1、什么是运维?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?3、现在给你三百台服务器,你怎么对他们进行管理?4、简述raid0 raid1raid5二种工作模式的工作原理及特点5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
ServiceAccount
weixin_44524077的博客
11-27 660
Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认证机制,具体请参见认证与ServiceAccount。 Authorization:用于控制用户对资源访问的授权,对访问的授权目前主要使用RBAC机制,将在RBAC介绍。 图1 API Server的认证授权 认证与ServiceAccount Kuber
大白话 k8s UserAccount ServiceAccount RBAC之间的关系
yanchendage的博客
10-28 709
账户类型 User Account(用户账户) Service Account(服务账户) User Account是为人设计的,而Service Account则是为Pod中的进程调用Kubernetes API而设计。 大白话,k8s就是一个会所,User Account就是你能不能进会所的凭证,光进会所没用,Service Account是你能不能获取服务的凭证, 你到底能获取什么服务呢?这就要将Service Account 和 rbac进行绑定了。会所有很多的角色role,大玩家,超级大玩家,顶.
k8s之user account
fengcai_ke的博客
07-11 1199
k8s user account
RBAC 基于权限的访问控制 serviceaccount -- clusterRole clusterRoleBinding
weixin_30248399的博客
11-12 436
1.Role , RoleBinding 的作用对象都是namespace。 2.通过RoleRef,可以看到,RoleBinding对象通过名字,直接引用前面定义的Role,实现subject(user)和Role的绑定 role -- namespace -- RoleBinding -- mynamespace |...
关于ServiceAccount以及在集群内访问K8S API
ttropsstack的博客
05-26 317
这是因为ServiceAccount是用于身份验证和授权的一种机制,每个Pod都需要与一个ServiceAccount关联,以确定Pod在集群中的身份和权限。默认的ServiceAccount是为了确保在创建Pod时不会发生错误。如果没有显式地指定Pod要使用的ServiceAccount,Kubernetes会自动将命名空间的默认ServiceAccount分配给该Pod。这样,Pod就能够获得基本的权限和凭据,以便与集群中的其他组件进行通信。
K8S创建用户账号User Account并赋予权限
06-12
本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限。 一、Kubernetes中的认证与授权 在Kubernetes中,认证(Authentication)是确认用户身份的过程,而授权(Authorization)则是确定...
learning-k8s:k8s学习
08-03
k8s-学习 Kubernetes 不是专注于“CI/CD”、“微服务”的容器云 Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化工作负载和服务。 它促进了声明式配置和自动化,让我们能够弹性地运行分布式系统,以满足...
generator-k8s:用于Kubernetes部署的Yeoman Generator
01-30
Yeoman Generator for K8S资源 这是kubernetes资源的约旦生成器。 安装 要安装此软件包,只需运行 用法 安装yeoman (如果尚未安装) npm i -g yo 。 安装此软件包后,请使用: yo k8s 所有详细的生成器如下所述。...
k8s:YAML范例
03-26
k8s YAML范例我的安装为了我自己的学习环境主机操作系统:Mac Big Sur K8s安装工具:hyperctl hyperkit是Hyper-V / Hyperkit中CentOS / Ubuntu上的多节点(或单节点)Kubernetes。 它也是由不带Docker for Desktop的...
k8s:Kubernetes配置文件到Boostrap trandoshan集群
03-09
k8s Kubernetes配置文件到Boostrap trandoshan集群 如何使用它? 首先,请确保您的本地kubectl已正确配置为指向正在运行的Kubernetes集群。 还要确保在本地计算机上安装了头盔。 请编辑trandoshan / feeder / ...
k8s权限配置(ServiceAccountRoleClusterRole
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
kubernetes10——访问控制(serviceaccountuseraccount、RBAC)
qwejiaji的博客
08-05 837
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
【kubernetes系列】Kubernetes之ServiceAccount
margu_168的博客
07-12 1810
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
K8S中的ServiceAccountuseraccount并配置私有仓库用户名密码Harbor拉取私有镜像
风水道人
09-06 385
K8S中的ServiceAccountuseraccount并配置私有仓库用户名密码Harbor拉取私有镜像
ServiceAccount深度解析
qq_61039408的博客
08-07 904
这里在default名称空间创建了一个serviceaccount为admin,可以看到已经自动生成了一个Tokens:admin-token-j7n8j,下面展示如何使用自定义的serviceaccount在K8S集群当中,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当中,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的APIserver进行通信。
20 名词解释 Service Account
邓乐来Jacob的博客
06-29 2635
Service AccountService account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计;User account是跨namespace的,而service account则是仅局限它所...
k8s 创建user,group ServiceAccount创建
06-01
), 5, self) search_result_table.setHorizontalHeaderLabels(["ID", "类型", "支出", "关键字", "在 Kubernetes 中,可以使用以下步骤来创建用户、组和 ServiceAccount: 创建用户和组: 1. 通过 ssh 连日期"]) search_result_table.horizontalHeader().setSectionResizeMode(QHeaderView.Stretch) row = 0 for record in matched接到 Kubernetes 集群上的一台主节点。 2. 执行以下命令创建一个新的用户: ``` sudo user_records: for i in range(len(record)): search_result_table.setItem(row, i, QTableWidgetItem(str(record[i]))) row += add -m <username> ``` 3. 执行以下命令创建一个新的组: ``` sudo groupadd <groupname1 search_result_layout.addWidget(search_result_table) search_result_widget.setWindowTitle("查询结果") search_result_widget.show() if __> ``` 4. 执行以下命令将用户添加到组中: ``` sudo usermod -a -G <groupnamename__ == '__main__': app = QApplication(sys.argv) window = MainWindow() window.show() sys.exit(app.exec_> <username> ``` 创建 ServiceAccount: 1. 执行以下命令创建一个新的 ServiceAccount: ``` kubectl()) ``` 这个代码实现了你所要求的所有功能。在这个代码中,我们使用了PyQt5 create serviceaccount <serviceaccount-name> ``` 2. 执行以下命令获取 ServiceAccount 的详细信息: ``` kubectl来创建GUI界面,使用了QCalendarWidget来显示日历,使用了QTimeEdit来显示时间。我们通过连接clicked describe sa <serviceaccount-name> ``` 在输出中,可以看到 ServiceAccount 的名称和自动生成的 Secret 名称。 信号和槽来更新当前日期和时间。我们还使用了QLineEdit、QComboBox和QPushButton等控件来实现记3. 可以使用以下命令将 ServiceAccount 绑定到一个或多个角色: ``` kubectl create rolebinding账和查询功能。我们使用了QTableWidget来显示记账和查询结果,并使用了CSV文件来保存记账数据 <binding-name> --role=<role-name> --serviceaccount=<namespace>:<serviceaccount-name> ``` 其中,`<。我们使用了defaultdict来计算每种类型的总支出,并使用了QMessageBox来显示查询结果。 希望binding-name>` 是绑定的名称,`<role-name>` 是角色的名称,`<namespace>` 是 ServiceAccount 所在这个代码能够对你有所帮助,祝你好运!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值