k8s RBAC 角色访问控制详解与生产中的实际应用案例

最新推荐文章于 2025-03-16 18:37:31 发布
最新推荐文章于 2025-03-16 18:37:31 发布
阅读量2k 收藏 37
点赞数 45
分类专栏: Kubernetes航线图:从船长到K8s掌舵者 文章标签: 容器 docker k8s kubernetes 云原生 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53269650/article/details/138254762
版权

🐇明明跟你说过:个人主页

🏅个人专栏:《Kubernetes航线图:从船长到K8s掌舵者》 🏅

🔖行路有良友,便是天堂🔖

目录

一、前言

1、k8s简介

2、RBAC简介 

二、RBAC关键资源

1、Role

2、Cluster Role 

3、RoleBinding

4、ClusterRoleBinding 

5、主体(Subject)

三、实际应用 

案例1

案例2

一、前言

1、k8s简介

Kubernetes单词起源于希腊语, 是“舵手”或者“领航员、飞行员”的意思。

Kubernetes(简称K8s)的前世今生可以追溯到谷歌(Google)内部的一个项目,它起源于2003年,当时谷歌正面临着不断增长的应用程序和服务的管理挑战。这个项目最初被称为"Borg",是一个早期的容器编排系统。Borg 的成功经验成为 Kubernetes 开发的契机。

 有关k8s起源的介绍,请参考《初识K8s之前世今生、架构、组件、前景》这篇文章

​​

Kubernetes的优点包括可移植性、可伸缩性和扩展性。它使用轻型的YAML清单文件实现声明性部署方法,对于应用程序更新,无需重新构建基础结构。管理员可以计划和部署容器,根据需要扩展容器并管理其生命周期。借助Kubernetes的开放源代码API,用户可以通过首选编程语言、操作系统、库和消息传递总线来构建应用程序,还可以将现有持续集成和持续交付(CI/CD)工具集成。

2、RBAC简介 

K8s RBAC(Role-Based Access Control,基于角色的访问控制)是Kubernetes(通常简称为K8s)中用于控制用户对集群资源访问权限的一种机制。RBAC允许管理员通过定义角色(Role)和角色绑定(RoleBinding)来管理用户对集群资源的访问权限。

二、RBAC关键资源

1、Role

在Kubernetes(K8s)中,Role是一种命名空间级别的资源,它允许对命名空间内的资源进行细粒度的访问控制。Role是一组权限的集合,用于给某个Namespace中的资源进行鉴权。具体来说,Role资源类型的rules字段用于定义哪些操作(verbs)可以在哪些资源(resources)上执行。

  • resources字段指定了角色可以访问的资源类型。这些资源类型可以是Kubernetes API中定义的任何资源,例如Pods、Services、Deployments、ConfigMaps等。可以在resources字段中列出多个资源类型,以允许角色访问这些类型的资源。
  • verbs字段定义了角色可以对资源执行的操作。
最低0.47元/天 解锁文章
k8s 访问控制--认证鉴权】
嘻哈记的运维学习之路
02-29 1722
操作k8s的所有请求都是通过https的方式进行请求,通过REST协议操作我们的k8s接口,所以在k8s中有一套认证和鉴权的资源。
k8sRBAC 详解(基于角色访问控制)
qfyangsheng的博客
08-19 1698
一个实验搞定RBAC RBAC基于角色访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
k8s访问控制
LY_CS的博客
04-13 1103
访问k8s的API Server的客户端主要分为两类: kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。 pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccou...
K8s 存储安全:权限管理、加密及访问控制详解
最新发布
wdfdgygg77的博客
03-16 347
KubernetesK8s)生态系统中,存储安全是保障数据完整性、保密性和可用性的核心要素。随着企业越来越多地将关键业务应用迁移至 K8s 集群,确保存储层面的安全至关重要。本文将深入探讨 K8s 存储安全中的权限管理、加密及访问控制等关键机制。
K8s---访问控制
m0_62341392的博客
01-17 1130
目录 基本概念 API Server认证 ServiceAccount(SA) UserAccount(UA) RBAC授权 基本概念 kubernetes API 访问控制过程:认证、授权、准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由...
从零开始入门 K8s | K8s 安全之访问控制
阿里巴巴云原生的博客
03-17 486
作者 | 匡大虎   阿里巴巴技术专家 本文整理自《CNCF x Alibaba 云原生技术公开课》第 27 讲,点击直达课程页面。 关注“阿里巴巴云原生”公众号,回复关键词**“入门”**,即可下载从零入门 K8s 系列文章 PPT。 **导读:**访问控制云原生安全的一个重要组成部分,也是 K8s 集群在多租环境下必要且基本的安全加固手段。在 K8s 体系中,访问控制又...
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 2101
RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 657
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC
k8sRBAC授权模式
weixin_37337210的博客
01-13 1151
导读 上一篇说了k8s的授权管理,这一篇就来详细看一下RBAC授权模式的使用 RBAC授权模式 基于角色访问控制,启用此模式,需要在API Server的启动参数上添加如下配置,(k8s默然采用此授权模式)。 --authorization-mode=RBAC /etc/kubernetes/manifests/kube-apiserver.yaml (1)对集群中的资源及非资源权限均有完整的覆盖 (2)整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kube.
kubernetes集群中-RBAC用户角色资源权限详解
weixin_39941298的博客
04-26 1074
我们通过k8s各组件架构,知道各个组件之间是使用https进行数据加密及交互的,那么同理,我们作为“使用”k8s的各种资源的使用者,也是通过https进行数据加密的;k8s通过我们家目录下的证书来判断我们是谁?通过证书内容来认定我们的权限;用户证书的位置-rw------- 1 root root 5643 3月 29 16:04 /root/.kube/config1,User3,Group本质上讲,在k8s系统中,用户,就是一个文件,这个文件在当前登录用户的家目录下;
K8s --k8s访问控制
ly660402的博客
02-27 454
API Server 是K8s重要的管理API 层。它负责提供restful api访问端点, 并且将数据持久化到etcd server中。Kubernetes 集群中,API Server 扮演着交互入口的位置。API Server 不仅负责和 etcd 交互(其他组件不会直接操作 etcd,只有 API Server 这么做),并切对外提供统一的API调用入口, 所有的交互都是以 API Server 为核心的。 kubernetes API 访问控制 Authentication(认证) 认证.
K8s--访问控制
小螺号的博客
03-23 401
文章目录一、访问控制的几种方式二、UserAccount1.创建UserAccount2.RBACRoleBindingClusterRoleBinding三、服务账户的自动化 一、访问控制的几种方式 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Ser
k8s中的访问控制
weixin_43849415的博客
10-20 2123
本文主要介绍了k8s中的访问控制,包括认证、授权、准入控制,最后通过几个小case进行案例演示。
企业实战-Kubernetes(十)访问控制
weixin_53228623的博客
08-05 209
访问控制1 简介2 serviceaccount(sa)3 1 简介 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的
k8s-API 访问控制
HoweWWW的博客
09-17 1267
认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。用户账户是全局性的。其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户。用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。
k8s--kubernetes访问控制
Gong_yz的博客
03-14 1148
Authentication(认证)认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。Authorization(授权)
KubernetesK8s 的鉴权管理(一):基于角色访问控制RBAC 鉴权)
书山有路,学海无涯。记录成长,追逐梦想
09-08 1569
基于角色访问控制(Role-Based Access Control,RBAC),通过为用户赋予不同的角色来控制其访问 Kubernetes 集群资源。它允许用户动态配置不同的角色策略。基于角色访问控制需要使用 rbac.authorization.k8s.io API 组来执行。
k8s基本操作、控制器、服务、存储、访问控制及维护等
w975121565的博客
09-01 1442
k8s基本操作、控制器、服务、存储、访问控制及维护等
k8s rbac
SHELLCODE_8BIT的博客
03-10 1875
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
k8s RBAC权限
02-25
### 配置和管理 Kubernetes (k8s) 中的 RBAC 权限 #### 创建角色(Role) 为了定义特定命名空间内的权限,可以创建 `Role` 对象。下面是一个简单的例子,用于授予读取 Pod 的权限: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: example-namespace name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] ``` 此 YAML 文件描述了一个名为 `pod-reader` 的角色,它允许执行获取、监视以及列出操作于 Pods 上[^2]。 #### 将角色绑定到用户或服务账户(Role Binding) 一旦定义好角色之后,则需通过 `RoleBinding` 或者 `ClusterRoleBinding` 把这些权限分配给具体的用户或者 Service Account。这里展示如何把前面提到的角色赋予某个用户 zhaoz,在北京这个命名空间下: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: beijing subjects: - kind: User name: zhaoz apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 这段配置会将 `pod-reader` 这个角色用户 zhaoz 关联起来,并限定在北京这一命名空间内生效[^3]。 #### 查看现有的 RBAC 资源 要检查当前环境中已有的 Roles 和 Bindings 可以运行如下命令来获取列表信息: ```bash kubectl get roles,rolebindings,clusterroles,clusterrolebindings ``` 这有助于理解现有设置并确保新添加的规则按预期工作。 #### 切换上下文至管理员身份 当需要进行更广泛的更改时,可能希望切换到具有更高权限的身份来进行操作。可以通过以下指令实现这一点: ```bash kubectl config use-context kubernetes-admin@kubernetes ``` 这样就可以获得集群级别的完全控制权以便完成必要的调整[^1]。
评论 28
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明明跟你说过

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值