【云原生kubernetes系列】--RBAC权限的使用

最新推荐文章于 2024-06-13 15:25:30 发布
最新推荐文章于 2024-06-13 15:25:30 发布
阅读量1.3k 收藏 18
点赞数 29
文章标签: 云原生 kubernetes 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58519482/article/details/136259523
版权

1.1 API网关

1.1.1 API网关介绍

  • API Server是k8s集群的网关,是能够与etcd通信的唯一入口

  • kube-controller-manager、kube-scheduler、kubelet、kube-proxy,以及后续部署的集群插件CoreDNS、ProjectCalico等,彼此间互不通信,彼此间的所有协作均经由API Server的REST API进行,它们都是API Server的客户端, 确保对API Server的安全访问至关重要。

  • 客户端对API Server的访问应经过身份验证以及权限检查

  • 为防止中间人攻击,各类客户与API Server间的通信都应使用TLS进行加密,kubelet也会监听一些套接字,提供一个小型的REST API

  • 10250是具有所在节点上Pod管理权限的读写端口,应谨慎管理

  • 10255仅提供只读操作,是REST API的子集

  • 10248是本地healthz端点使用的端口

1.1.2 API网关的访问流程

在这里插入图片描述
API Server内置一个三级别的访问控制机制
在这里插入图片描述

  • 认证:核验请求者身份的合法性
  • 授权:核验请求的操作是否获得许可
  • 准入控制:检查操作内容是否合规

插件化机制,每种访问控制机制均有一组专用的插件栈

  • 认证:身份核验过程遵循 ”或“ 逻辑,且任何一个插件核验成功后都将不再进行后续的插件验证
    1. 均不成功,则失败,或以“匿名者”身
      份访问
    2. 建议禁用“匿名者”
  • 授权:鉴权过程遵循“或”逻辑,且任何一个插件对操作的许可授权后都将不再进行后续的插件验证
    1. 均未许可,则拒绝请求的操作
  • 准入控制:内容合规性检查过程遵循 “与”逻辑,且无论成败,每次的操作请求都要经由所有插件的检验
    1. 将数据写入etcd前,负责检查内容的有效性,因此仅对“写”操作有效
    2. 校验和补全(订正)

1.2 RBAC

1.2.1用户分类
  • 普通用户(user):被外部或独立服务管理的。管理员分配私钥,常用的kubectl都是普通用户执行的
  • 服务账户(ServerAccount):是由k8s API管理的用户,它们绑定到特定的命名空间,并由API服务器自动创建或通过手动通过调用API创建。服务账户与存储为Secrets的一组证书相关联,这些凭据被挂载到pod中,以便进程与k8s API通信(登录dashboard时我们使用的就是SA)。如果是程序需求权限,将Role与ServiceAccount指定(这需要创建ServiceAccount并且在deployment中指定ServiceAccount),是给程序使用的。
    在这里插入图片描述
11.2.2k8s角色以及角色绑定
1、授权介绍

在RBAC API中,通过以下步骤进行授权:

1、**定义角色:**在定义角色时会指定此角色对于资源的访问控制的规则

2、**绑定角色:**将主体与角色进行绑定,对用户进行访问授权。

角色:

  • role:授权特定命名空间的访问权限(对命名空间)
  • clusterrole:授权集群的访问权限(对集群)

角色绑定

  • RoleBinding:将角色绑定到主体(即subject,其实就是把角色和用户、用户组、服务账户绑定)
  • ClusterRoleBinding:将集群角色绑定到主体

主体(subject)

  • 用户(user)
  • 用户组(group)
  • 服务账号(SA)
    在这里插入图片描述
2、角色介绍(Role和ClusterRole)

Role针对特定的命名空间,ClusterRole针对是整个集群范围内都生效

11.3k8s中kubeconfig的配置以及使用详解

概念:

kubeconfig文件保存了k8s集群的集群、用户、命名空间、认证的信息。kubectl命令使用kubeconfig文件获取集群的信息然后和API Server进行通信

注意:用于配置对集群的访问的文件称为 kubecconfig 文件。也就是说,kubeconfig 文件中包含的内容是集群的配置。但是,并不是必须有个文件名字叫 kubeconfig。默认情况下,kubectl命令从 $HOME/.kube 目录下查找一个名字叫做 config 的文件。可以通过 KUBECONFIG 环境变量或者–kubeconfig 参数来指定其他的 kubeconfig 文件。

kubeconfig中的组成部分:

  • Cluster:集群
  • user:用户
  • context:上下文

kubeconfig支持多集群、多用户、多认证

实际使用场景:

  • kubelet使用证书认证(kubelet和api server进行认证)
  • 用户使用token进行认证
  • 管理员为不同的用户提过不同的证书

都可以使用kubeconfig来组织集群、用户、命名空间的信息。同样也可以使用context在集群和命名空间之间进行切换

11.3实验

11.3.1 允许用户访问指定的Namespace下的资源

要求:

  1. 创建用户wengsq
  2. 允许用户wengsq操作Namespace linux下所有的pod和deployment
1、创建用户
root@k8s-master1:/app/yaml/rbac# kubectl create sa wengsq -n linux
2、创建角色
root@k8s-master1:/app/yaml/rbac# cat wengsq-role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: wengsq-role
  namespace: linux
rules:
- apiGroups:
  - ""
  resources:
  - pods
  - pods/exec
  verbs: ["*"]
- apiGroups:
  - apps
  resources:
  - deployments
  verbs: ["*"]
root@k8s-master1:/app/yaml/rbac# kubectl apply -f  wengsq-role.yaml 
#验证
root@k8s-master1:/app/yaml/rbac# kubectl get role -n linux
NAME          CREATED AT
wengsq-role   2024-02-23T06:36:53Z
root@k8s-master1:/app/yaml/rbac# kubectl describe role wengsq-role -n linux
Name:         wengsq-role
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources         Non-Resource URLs  Resource Names  Verbs
  ---------         -----------------  --------------  -----
  pods/exec         []                 []              [*]
  pods              []                 []              [*]
  deployments.apps  []                 []              [*]
3、将用户与角色绑定

新建一个名为role-bind-wengsq的Rolebinding

root@k8s-master1:/app/yaml/rbac# cat role-bind-wengsq.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: role-bind-wengsq
  namespace: linux
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: wengsq-role
subjects:
- kind: ServiceAccount
  name: wengsq
  namespace: linux
  root@k8s-master1:/app/yaml/rbac#kubectl apply -f  role-bind-wengsq.yaml
  
#验证
root@k8s-master1:/app/yaml/rbac# kubectl describe rolebindings.rbac.authorization.k8s.io role-bind-wengsq -n linux
Name:         role-bind-wengsq
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  wengsq-role
Subjects:
  Kind            Name    Namespace
  ----            ----    ---------
  ServiceAccount  wengsq  linux
4、使用wengsq账号的token登录dashboard并验证(1.24版本以前的sa的secret是自动生成,1.24以后要手动生成)
root@k8s-master1:/app/yaml/rbac# kubectl get secrets -n linux
NAME                  TYPE                                  DATA   AGE
default-token-b55qx   kubernetes.io/service-account-token   3      2d22h
wengsq-token-jmfx5    kubernetes.io/service-account-token   3      26h
root@k8s-master1:/app/yaml/rbac# kubectl describe secrets wengsq-token-jmfx5 -n linux
Name:         wengsq-token-jmfx5
Namespace:    linux
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: wengsq
              kubernetes.io/service-account.uid: 9c74cff9-351e-4f8e-8414-192cceb1d9d9

Type:  kubernetes.io/service-account-token

Data
====
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IjNKazJfUnF2c0stSkFVbHZkT2VPVXRRSlBINVM5SEtmWTRqR013RmpKRUkifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJsaW51eCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJ3ZW5nc3EtdG9rZW4tam1meDUiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoid2VuZ3NxIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiOWM3NGNmZjktMzUxZS00ZjhlLTg0MTQtMTkyY2NlYjFkOWQ5Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmxpbnV4OndlbmdzcSJ9.NkUN9E6wYcjw4TzFA5julmOOkey2Gq1jUOUw6jP5f9Z7lb9MnbG3ecZ58-RqZ7GL7TD4BsbCQAYd_uAiZseHOvdb8wYmPIZZF-T04MnjwX_O2ZVTCm3pN-w2p0nAsFe8ofPxWjFWM5NvJBwhXHvBl8roh0bz5X-Fg8NELRv7vsO0xd5TkVQFBiVOn5n_0rWvdjXhwgNGjG6VSEGI9WUXPB1kw-wLcLZ39ZclCA1hJLHSt5NCLASnYRZC83J_OAnSnOwE6woCQyRLXHzcZYfYIC2gxsdQEoC1K-S97IliJ0qwmnGijRUN_CKsVCQI0uKX1FFJpWnvIes0EHMsbZivfw
ca.crt:     1350 bytes
namespace:  5 bytes

在这里插入图片描述
在这里插入图片描述

11.3.2 生成普通用户config文件
1.编写证书配置文件
root@k8s-master1:/app/yaml/rbac# cat wengsq-csr.json
{
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "NanJing",
      "L": "Nanjing",
      "O": "Pana",
      "OU": "System"
    }
  ]
}
2.签发证书

签发成功会生成:wengsq-key.pem、wengsq.csr、 wengsq.pem三个文件

root@k8s-master1:/app/yaml/rbac# ln -sf /etc/kubeasz/bin/cfssl* /usr/bin/
root@k8s-master1:/app/yaml/rbac# cfssl gencert -ca=/etc/kubernetes/ssl/ca.pem -ca-key=/etc/kubernetes/ssl/ca-key.pem -config=/etc/kubeasz/clusters/k8s-01/ssl/ca-config.json -profile=kubernetes wengsq-csr.json |cfssljson -bare wengsq
2024/02/23 16:20:26 [INFO] generate received request
2024/02/23 16:20:26 [INFO] received CSR
2024/02/23 16:20:26 [INFO] generating key: rsa-2048
2024/02/23 16:20:27 [INFO] encoded CSR
2024/02/23 16:20:27 [INFO] signed certificate with serial number 654959555428526687192265662714543254530197189889
2024/02/23 16:20:27 [WARNING] This certificate lacks a "hosts" field. This makes it unsuitable for
websites. For more information see the Baseline Requirements for the Issuance and Management
of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);
specifically, section 10.2.3 ("Information Requirements")
root@k8s-master1:/app/yaml/rbac# ll
total 60
drwxr-xr-x  2 root root  299 Feb 23 14:59 ./
drwxr-xr-x 11 root root  136 Feb 21 10:48 ../
-rw-r--r--  1 root root  260 Feb 20 17:39 role-bind-wengsq.yaml
-rw-r--r--  1 root root   80 Feb 21 17:16 sa.yaml
-rw-r--r--  1 root root  555 Feb 22 13:43 tomcat-app1.yaml
-rw-r--r--  1 root root  202 Feb 21 17:04 wengsq-csr.json
-rw-------  1 root root 1675 Feb 21 17:04 wengsq-key.pem
-rw-r--r--  1 root root  271 Feb 23 14:59 wengsq-role.yaml
-rw-r--r--  1 root root  972 Feb 21 17:04 wengsq.csr
-rw-------  1 root root 6215 Feb 21 17:06 wengsq.kubeconfig
-rw-r--r--  1 root root 1363 Feb 21 17:04 wengsq.pem
3.生成普通用户的kubeconfig文件
1、生成普通用户kubeconfig文件
root@k8s-master1:/app/yaml/rbac# kubectl config set-cluster cluster1 --certificate-authority=/etc/kubernetes/ssl/ca.pem --embed-certs --server=https://172.17.1.101:6443 --kubeconfig=wengsq.kubeconfig
Cluster "cluster1" set.
2、将证书信息嵌入kubeconfig文件
root@k8s-master1:/app/yaml/rbac# kubectl config set-credentials wengsq --client-certificate=/app/yaml/rbac/wengsq.pem --client-key=/app/yaml/rbac/wengsq-key.pem --embed-certs=true --kubeconfig=wengsq.kubeconfig
User "wengsq" set.
3、设置上下文参数
root@k8s-master1:/app/yaml/rbac# kubectl config set-context cluster1 --cluster=cluster1 --user=wengsq --namespace=linux --kubeconfig=wengsq.kubeconfig
Context "cluster1" created. 
4、设置默认上下文
kubectl config use-context cluster1 --kubeconfig=wengsq.kubeconfig
注意:如果查看没有wengsq.kubeconfig文件,配置一下环境变量export KUBECONFIG=~/.kube/wengsq.kubeconfig
4、将wengsq 账号的secret 的token写到wengsq.kubeconfig这个文件

在这里插入图片描述
在这里插入图片描述

优质&青年
关注
  • 29
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
k8s之RBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1577
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
云原生 kubernetes 】- 基于角色的访问控制RBAC
ycloud
10-15 422
RBAC是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 简言之,不同用户之间拥有不同的访问权限,就像我们在使用ELK日志系统时,运维人员具有最高权限,根据其他人员的需求对不同的index分配可读,可写,只读,只写,其他各种权限
Kubernetes运维篇】RBAC认证授权详解(一)
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限,RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
Kubernetes — RBAC权限控制
qq_41619571的博客
10-16 735
1. 在Kubernetes中,负责完成授权(Authorization)工作的机制,就是RBAC:基于角色的访问控制(Role-Based Access Control)2. “主体”(subject)能够或不能够“操作”(operate)哪个或哪类“对象”(object)。动作的发出者是subject,通常是(User Account),也可以是(Service Account)。“操作”(operate)用于表明执行的具体操作,
k8s 中基于RBAC 控制pod的访问权限
weixin_43632687的博客
04-10 380
role设置 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] # "" 标明 core API 组 resources: ["pods"] verbs: ["get", "watch", "list"] rolebinding apiVersion: rbac.authorization.
k8s基于RBAC的权限控制,赋予pod访问k8s API的权限
weixin_47729423的博客
04-13 1875
部署在k8s集群中的应用,有些需要拥有访问k8s API服务器的权限,比如说获取当前命名空间下的pod,svc等资源。k8s通过RBAC规则来赋予用户、pod、组相应的权限。其中pod使用一种称为service accounts的机制,下面我们来实践如何为pod中的应用添加权限。 首先需要在命名空间中创建serviceaccount资 yaml详细内容如下: 接着创建role(角色),role中包含角色所具有的功能,yaml内容如下: yaml中定义了角色有获取default命名空间中pods的权限
基于RBAC方式从Pod内访问API server
u013431916的博客
04-23 4507
关于Kubernetes中基于角色的访问控制(RBAC)的介绍可以参考文章:Kubernetes RBAC当在物理机上执行kubectl时,会自动根据~/.kube/config文件配置kubectl,其中包含一些权限信息,这样API server就可以根据权限信息决定是否执行来自kubectl的请求。然而在Pod内要想访问API server,更常用的方法是利用service account来验...
访问管理器:Kubernetes-Operator简化RBAC配置
02-07
在基于名称空间的基础上管理许多不同的RBAC-Roles时,出现了这个想法。 随着时间的推移,这变得越来越复杂,管理员始终必须确保将正确的角色应用于多个名称空间中的不同人员或ServiceAccounts。 操作员的范围仅限于...
kubernetes-model-rbac-5.8.0.jar中文-英文对照文档.zip
03-09
中文-英文对照文档,中英对照文档,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压 【***.jar中文文档.zip】,再解压其中的 【***-...
spring-cloud-rbac:spring cloud云权限架构
01-31
3,rbac-show的application-dev.properties。 若有那里缺失的地方,大家可以直接加QQ282245889直接联系我。 该系列的CSDN的文章地址是: : 数据库执行脚本大家可以直接github的20180227.sql自行下载下来在数据库...
管理系统系列--基于rbac设计的权限管理系统.zip
02-26
管理系统系列--基于rbac设计的权限管理系统
kube-flannel-rbac.yml kube-flannel.yml
01-20
kube-flannel-rbac.yml # Create the clusterrole and clusterrolebinding: # $ kubectl create -f kube-flannel-rbac.yml # Create the pod using the same namespace used by the flannel serviceaccount: # $ ...
k8s第五节 安全框架RBAC、pod acl网络限制、备份etcd
dazer的专栏
01-21 369
k8s组件访问经过授权和证书方面的校验。 ![授权、认证](https://img-blog.csdnimg.cn/20210121162308376.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2FiNjAxMDI2NDYw,size_16,color_FFFFFF,t_70) 名称 命令 查看证书 ls /etc/kubern
k8s APIserver 安全机制之 rbac 授权
热门推荐
高飞的博客
11-11 25万+
k8s 认证、授权、准入控制机制
云原生Kubernetes----Metrics-Server组件与HPA资源
hy199707的博客
06-13 805
Kubernetes集群中,为了确保资源的有效利用和应用的高可用性,我们通常需要监控集群中各个Pod的资源使用情况,并根据这些信息进行相应的调整。Horizontal Pod Autoscaler (HPA) 就是这样一种机制,它可以根据Pod的资源使用情况自动调整Pod的副本数量。而Metrics-Server,作为Kubernetes的一个核心组件,为HPA提供了关键的度量数据支持。本文将详细解析Metrics-Server与HPA之间的关系、工作原理以及它们在实际应用中的重要性
云原生Kubernetes----RBAC用户资源权限
hy199707的博客
06-06 1074
随着云计算和容器技术的蓬勃发展,Kubernetes(K8s)作为容器编排的领头羊,其安全性成为了众多企业和开发者关注的焦点。本文将详细解析Kubernetes的安全机制,包括认证、鉴权和准入控制,以确保集群的稳定性和数据的安全。
云原生周刊:Kubernetes 十周年 | 2024.6.11
KubeSphere
06-11 611
这 10 年间,Kubernetes 从一个小型的容器编排工具,逐步发展成为一个庞大的生态系统,能够支持从小型应用到大型分布式系统的部署和运维。它解释了 Ingress 的概念,讨论了 NGINX Ingress Controller 的工作原理以及如何在 Kubernetes 集群中部署和配置它。kube-state-metrics 是一个用于收集 Kubernetes 集群状态信息的开源项目,它能够提供各种有用的指标,用于监控和调试 Kubernetes 集群。本文由博客一文多发平台。
云原生进阶之数据库技术】第二章-Oracle-原理-4.6.3.1-Flashback闪回技术总述
junbaozi的专栏
06-07 1036
闪回技术(Flashback)是Oracle数据库提供的基于时间点或SCN(System Change Number)回滚数据的技术。它比常规的恢复方式(如备份、日志应用)更快、更方便,也可以回滚到秒级别。任何预防措施都无法避免人为失误的发生。Oracle 数据库闪回技术是一组独特而丰富的数据恢复解决方案,能够有选择性地高效撤销一个错误的影响,从人为错误中恢复。在采用闪回技术之前,损坏数据库只需数分钟,而要恢复它则需要数小时。有了闪回技术,纠正错误只需要数分钟的时间。
云原生Kubernetes----Rancher助力Kubernetes监控
最新发布
hy199707的博客
06-13 829
随着容器化技术的快速发展,Kubernetes已经成为企业部署和管理微服务、云原生应用的首选。然而,随着集群规模的扩大和复杂性的增加,如何有效地监控K8s集群的性能、资源使用情况以及应用的健康状况,成为了运维人员必须面对的挑战。Rancher作为一款开源的企业级K8s管理平台,提供了强大的监控能力,帮助用户实现集群的全方位掌控。
django-admin自定义rbac认证
05-13
在Django中,可以使用django-admin来创建自定义的RBAC认证系统。以下是一些步骤: 1. 创建一个新的Django应用程序: ``` python manage.py startapp rbac ``` 2. 在rbac应用程序中创建一个新的文件夹,命名为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值