【云原生kubernetes系列】--RBAC权限的使用

最新推荐文章于 2025-04-19 21:43:45 发布
原创 最新推荐文章于 2025-04-19 21:43:45 发布 · 1.5k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云原生 #kubernetes #容器

1.1 API网关

1.1.1 API网关介绍

  • API Server是k8s集群的网关,是能够与etcd通信的唯一入口

  • kube-controller-manager、kube-scheduler、kubelet、kube-proxy,以及后续部署的集群插件CoreDNS、ProjectCalico等,彼此间互不通信,彼此间的所有协作均经由API Server的REST API进行,它们都是API Server的客户端, 确保对API Server的安全访问至关重要。

  • 客户端对API Server的访问应经过身份验证以及权限检查

  • 为防止中间人攻击,各类客户与API Server间的通信都应使用TLS进行加密,kubelet也会监听一些套接字,提供一个小型的REST API

  • 10250是具有所在节点上Pod管理权限的读写端口,应谨慎管理

  • 10255仅提供只读操作,是REST API的子集

  • 10248是本地healthz端点使用的端口

1.1.2 API网关的访问流程

在这里插入图片描述
API Server内置一个三级别的访问控制机制
在这里插入图片描述

  • 认证:核验请求者身份的合法性
  • 授权:核验请求的操作是否获得许可
  • 准入控制:检查操作内容是否合规

插件化机制,每种访问控制机制均有一组专用的插件栈

  • 认证:身份核验过程遵循 ”或“ 逻辑,且任何一个插件核验成功后都将不再进行后续的插件验证
    1. 均不成功,则失败,或以“匿名者”身
      份访问
    2. 建议禁用“匿名者”
  • 授权:鉴权过程遵循“或”逻辑,且任何一个插件对操作的许可授权后都将不再进行后续的插件验证
    1. 均未许可,则拒绝请求的操作
  • 准入控制:内容合规性检查过程遵循 “与”逻辑,且无论成败,每次的操作请求都要经由所有插件的检验
    1. 将数据写入etcd前,负责检查内容的有效性,因此仅对“写”操作有效
    2. 校验和补全(订正)

1.2 RBAC

1.2.1用户分类
  • 普通用户(user):被外部或独立服务管理的。管理员分配私钥,常用的kubectl都是普通用户执行的
  • 服务账户(ServerAccount):是由k8s API管理的用户,它们绑定到特定的命名空间,并由API服务器自动创建或通过手动通过调用API创建。服务账户与存储为Secrets的一组证书相关联,这些凭据被挂载到pod中,以便进程与k8s API通信(登录dashboard时我们使用的就是SA)。如果是程序需求权限,将Role与ServiceAccount指定(这需要创建ServiceAccount并且在deployment中指定ServiceAccount),是给程序使用的。
    在这里插入图片描述
11.2.2k8s角色以及角色绑定
1、授权介绍

在RBAC API中,通过以下步骤进行授权:

1、**定义角色:**在定义角色时会指定此角色对于资源的访问控制的规则

2、**绑定角色:**将主体与角色进行绑定,对用户进行访问授权。

角色:

  • role:授权特定命名空间的访问权限(对命名空间)
  • clusterrole:授权集群的访问权限(对集群)

角色绑定

  • RoleBinding:将角色绑定到主体(即subject,其实就是把角色和用户、用户组、服务账户绑定)
  • ClusterRoleBinding:将集群角色绑定到主体

主体(subject)

  • 用户(user)
  • 用户组(group)
  • 服务账号(SA)
    在这里插入图片描述
2、角色介绍(Role和ClusterRole)

Role针对特定的命名空间,ClusterRole针对是整个集群范围内都生效

11.3k8s中kubeconfig的配置以及使用详解

概念:

kubeconfig文件保存了k8s集群的集群、用户、命名空间、认证的信息。kubectl命令使用kubeconfig文件获取集群的信息然后和API Server进行通信

注意:用于配置对集群的访问的文件称为 kubecconfig 文件。也就是说,kubeconfig 文件中包含的内容是集群的配置。但是,并不是必须有个文件名字叫 kubeconfig。默认情况下,kubectl命令从 $HOME/.kube 目录下查找一个名字叫做 config 的文件。可以通过 KUBECONFIG 环境变量或者–kubeconfig 参数来指定其他的 kubeconfig 文件。

kubeconfig中的组成部分:

  • Cluster:集群
  • user:用户
  • context:上下文

kubeconfig支持多集群、多用户、多认证

实际使用场景:

  • kubelet使用证书认证(kubelet和api server进行认证)
  • 用户使用token进行认证
  • 管理员为不同的用户提过不同的证书

都可以使用kubeconfig来组织集群、用户、命名空间的信息。同样也可以使用context在集群和命名空间之间进行切换

11.3实验

11.3.1 允许用户访问指定的Namespace下的资源

要求:

最低0.47元/天 解锁文章
数据结构c语言版试题大全(含答案)
weixin_40704392的博客
10-09 2948
数据结构c语言版试题大全(含答案) 1 绪论 数据结构复习题:绪论 单选题 1、在数据结构中,与所使用的计算机无关的数据叫_____结构。 A存储|B物理|C逻辑|D物理和存储 2、在数据结构中,从逻辑上可以把数据结构分成______。 A动态结构和静态结构|B紧凑结构和非紧凑结构|C线性结构和非线性结构|D内部结构 和外部结构图 3、数据结构在计算机内存中的表示是指_______。 数据的存储结构|数据结构|数据的逻辑结构|数据元素之间的关系 4、在数据结构中,与所使用的计算机无关的是数据的_____
KubernetesRBAC权限控制
qq_41619571的博客
10-16 989
1. 在Kubernetes中,负责完成授权(Authorization)工作的机制,就是RBAC:基于角色的访问控制(Role-Based Access Control)2. “主体”(subject)能够或不能够“操作”(operate)哪个或哪类“对象”(object)。动作的发出者是subject,通常是(User Account),也可以是(Service Account)。“操作”(operate)用于表明执行的具体操作,
Kubernetes运维篇】RBAC认证授权详解(一)
热门推荐
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
如何使用 RBAC 组件实现访问控制
jelly1102的专栏
04-13 514
http://hi.baidu.com/vincent_1984/blog/item/d3831b0a6738623bb1351d8d.html
RBAC快速入门
m0_66316879的博客
11-14 968
用户,角色,权限管理
云原生Kubernetes----RBAC用户资源权限
wyq2070857323的博客
06-09 865
Kubernetes的安全机制主要围绕三个核心组件:认证、鉴权和准入控制。认证是安全机制的第一道防线,负责确认请求者的身份;鉴权则是根据用户的身份和权限策略,确定其是否有权执行特定操作;最后,准入控制对API资源对象的修改和校验进行把关。
云原生Kubernetes----Kubernetes集群部署Prometheus 和Grafana
hy199707的博客
06-16 1563
云原生时代,Kubernetes(简称K8s)已经成为了容器编排的事实标准。然而,如何监控这个庞大的集群,确保其稳定运行,是每个运维人员都需要面对的问题。Prometheus和Grafana作为开源的监控和可视化工具,被广泛应用于Kubernetes集群的监控中。本文将详细介绍如何在Kubernetes集群中部署Prometheus和Grafana,以实现对集群的全面监控。
云原生Kubernetes----Rancher助力Kubernetes监控
hy199707的博客
06-13 1929
随着容器化技术的快速发展,Kubernetes已经成为企业部署和管理微服务、云原生应用的首选。然而,随着集群规模的扩大和复杂性的增加,如何有效地监控K8s集群的性能、资源使用情况以及应用的健康状况,成为了运维人员必须面对的挑战。Rancher作为一款开源的企业级K8s管理平台,提供了强大的监控能力,帮助用户实现集群的全方位掌控。
云原生Kubernetes----PersistentVolume(PV)与PersistentVolumeClaim(PVC)详解
wyq2070857323的博客
05-31 1146
存储卷是Kubernetes中的一个重要概念,它为容器提供了持久化存储或其他类型的存储的能力。Pod中的容器可以通过存储卷来访问文件系统,存储数据。存储卷的类型有很多,如等。这些存储卷类型都有其特定的用途和限制emptyDir是Kubernetes中一种最简单的存储卷类型,其生命周期与Pod相同。当Pod被分配给某个节点时,会为该Pod创建一个emptyDir卷,并且只要Pod在该节点上运行,卷就一直存在。一旦Pod被删除,emptyDir卷中的数据也会被永久删除定义。
Rbac 查看权限
Spark_ANG的博客
05-13 255
通过Rbac思路创建数据表 1.用户表(正常的用户表) 2.角色表(用户相对应的角色) 3.用户角色表(中间表,用户与角色连接起来的表) 4.权限表(角色相对应的权限) 通过pid连接 5.角色权限表(中间表,用户与角色连接起来的表) 6.通过JWT获取该登录用户的id 解析JWT的函数:getUserId 获取到这个id,之后利用这个id获取角色id 获取到角色id之后,再次获取权限id 这个是获取到有权限的控制器和有权限的方法 权限的效果..
猿人学_第04题
君子以阅川的博客
09-07 7803
猿人学_第04题
Kubernetes】多用户管理身份认证,RBAC授权及准入控制
meidongyan的博客
09-11 1541
多用户管理身份认证,RBAC授权及准入控制:
根证书 CA
weixin_34019144的博客
06-11 1775
根证书 CA 密钥没有密码,使用下面的指令添加密码 openssl rsa -aes256 -in cakey_nopw.pem -out cakey_pw.pem cacert.pem -----BEGIN CERTIFICATE----- MIIGfjCCBGagAwIBAgIBADANBgkqhkiG9w0BAQsFADC...
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2921
随着Kubernetes云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
聊一聊前后端权限控制 RBAC(完整流程)
weixin_47339511的博客
07-15 2675
前端需要把所需要的路由定义好,分为两部分:一部分是静态路由,可以随意访问;另一部分是权限路由,需要做权限控制。我们的页面结构通常是左侧有一个侧边栏,然后页面在中间的内容区域显示。所以这部分需要定义成嵌套路由。内容区为路由出口,React里边的,Vue中的;然后还可以把一些页面通过懒加载的方式引入。/*** 静态路由 可随意访问*/path: '/',name: '首页',title: '首页',},name: '登陆页',title: '登陆页',},
RBAC使用
最新发布
weixin_43806846的博客
04-19 422
权限认证:用户向apiserver发送请求时,系统首先进行认证,确认用户身份后根据请求查找对应rolebinding或clusterbinding,找到对应绑定关系则授权通过。定义角色:根据需求创建rule和clusterrule对象,rule用于对名称空间内资源授权,clusterrole对集训范围内资源跨名称空间的范围资源以及非资源类型授权。Rbac基于角色访问控制,用于管理用户对集群资源的访问权限,通过定义角色和绑定规则,将用户与权限进行关联,作用:权限精细化管理,操作便捷与统一管理,动态调整权限
Kubernetes RBAC 为指定用户授权访问不同命名空间权限
小楼一夜听春雨,深巷明朝卖杏花
01-18 8558
在开启了 TLS 的集群中,每当与集群交互的时候少不了的是身份认证,使用 kubeconfig(即证书) 和 token 两种认证方式是最简单也最通用的认证方式。 以kubectl为例介绍kubeconfig的配置。kubectl只是个go编写的可执行程序,只要为kubectl配置合适的kubeconfig,就可以在集群中的任意节点使用。kubectl默认会从$HOME/.kube目录下查找文件名为config的文件,也可以通过设置环境变量KUBECONFIG或者通过设置--kubeconfig...
k8s 中基于RBAC 控制pod的访问权限
weixin_43632687的博客
04-10 511
role设置 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] # "" 标明 core API 组 resources: ["pods"] verbs: ["get", "watch", "list"] rolebinding apiVersion: rbac.authorization.
k8s基于RBAC权限控制,赋予pod访问k8s API的权限
weixin_47729423的博客
04-13 2379
部署在k8s集群中的应用,有些需要拥有访问k8s API服务器的权限,比如说获取当前命名空间下的pod,svc等资源。k8s通过RBAC规则来赋予用户、pod、组相应的权限。其中pod使用一种称为service accounts的机制,下面我们来实践如何为pod中的应用添加权限。 首先需要在命名空间中创建serviceaccount资 yaml详细内容如下: 接着创建role(角色),role中包含角色所具有的功能,yaml内容如下: yaml中定义了角色有获取default命名空间中pods的权限
掌握云原生技术,成为Kubernetes全栈架构师
资源摘要信息:"云原生Kubernetes全栈架构师课程是一门针对云原生技术与Kubernetes的实战课程。课程基于2022年最新版,聚焦于V1.23版本的Kubernetes,课程内容不仅包含理论讲解,而且结合世界500强企业的实践经验,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值