Kubernetes RBAC权限问题

最新推荐文章于 2023-12-18 19:12:25 发布
最新推荐文章于 2023-12-18 19:12:25 发布
阅读量7.1k 收藏 1
点赞数
分类专栏: kubernetes rbac docker 文章标签: kubernetes rbac
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wenwst/article/details/78890724
版权
kubernetes 同时被 3 个专栏收录
34 篇文章 0 订阅
订阅专栏
docker
17 篇文章 0 订阅
订阅专栏
rbac
1 篇文章 0 订阅
订阅专栏

Kubernetes RBAC权限问题

在配置Ingress出现以下问题,是由于RBAC配置引起。RBAC在Kubernetes1.6开始引用。使用API版本也不同,因此,在配置yaml文件时需要注意。这里我们通过一个例子来解决RBAC的问题,当然,关于RBAC的概念在这里好像没有提及到。

1. 问题1
I0531 02:36:29.882636       7 launch.go:101] &{NGINX 0.9.0-beta.7 git-c1b8a32 https://github.com/kubernetes/ingress}
I0531 02:36:29.882660       7 launch.go:104] Watching for ingress class: nginx
I0531 02:36:29.882815       7 launch.go:257] Creating API server client for https://10.254.0.1:443
F0531 02:36:29.914513       7 launch.go:118] no service with name kube-system/default-http-backend found: User "system:serviceaccount:kube-system:default" cannot get services in the namespace "kube-system". (get services default-http-backend)

2. 问题2
 MountVolume.SetUp failed for volume "kubernetes.io/secret/6e55da79-e6de-11e7-8fc8-a2a5d2bd6632-fluentd-token-n74hg" (spec.Name: "fluentd-token-n74hg") pod "6e55da79-e6de-11e7-8fc8-a2a5d2bd6632" (UID: "6e55da79-e6de-11e7-8fc8-a2a5d2bd6632") with: secrets "fluentd-token-n74hg" not found

3. 问题3
2017-06-15 03:05:29 +0000 [info]: adding match pattern="**" type="elasticsearch"
2017-06-15 03:05:29 +0000 [error]: config error file="/fluentd/etc/fluent.conf" error="Exception encountered fetching metadata from Kubernetes API endpoint: 403 Forbidden (User \"system:serviceaccount:kube-system:default\" cannot list pods at the cluster scope.)"
2017-06-15 03:05:29 +0000 [info]: process finished code=256
2017-06-15 03:05:29 +0000 [warn]: process died within 1 second. exit.
You have new mail in /var/spool/mail/root

以下的Yaml可以根据自己的项目进行配置。

  1. 创建Namespace
    创建一个命令空间nginx-ingress,在接下来,我们会针对于nginx-ingress进行处理。所以,也不需要在意这个命令空间是什么名子。
apiVersion: v1
kind: Namespace
metadata:
  name: nginx-ingress
  1. 创建ServiceAccount
    创建一个ServiceAccount,名为nginx-ingress-serviceaccount,namespace是刚才创建的nginx-ingress。
apiVersion: v1
kind: ServiceAccount
metadata:
  name: nginx-ingress-serviceaccount
  namespace: nginx-ingress

在deployment中,我们通过serviceAccountName: kubernetes-dashboard来调用这个ServiceAccount。

  1. 创建ClusterRole
    创建一个ClusterRole,名为nginx-ingress-clusterrole。并通过rules分配相应的权限。这里要注意apiVersion是rbac.authorization.k8s.io/v1beta1,因为现在这边使用的是kubernetes 1.6。在别的版本中,使用的是rbac.authorization.k8s.io/v1。
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
  name: nginx-ingress-clusterrole
rules:
  - apiGroups:
      - ""
    resources:
      - configmaps
      - endpoints
      - nodes
      - pods
      - secrets
    verbs:
      - list
      - watch
  - apiGroups:
      - ""
    resources:
      - services
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - "extensions"
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - ""
    resources:
        - events
    verbs:
        - create
        - patch
  - apiGroups:
      - "extensions"
    resources:
      - ingresses/status
    verbs:
      - update
  1. 创建Role
    创建角色Role,命名为nginx-ingress-role,属于nginx-ingress命令空间,并通过rules分配相应的权限。
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
  name: nginx-ingress-role
  namespace: nginx-ingress
rules:
  - apiGroups:
      - ""
    resources:
      - configmaps
      - pods
      - secrets
    verbs:
      - get
  - apiGroups:
      - ""
    resources:
      - endpoints
    verbs:
      - get
      - create
      - update
  1. 创建RoleBinding
    创建一个RoleBinding名为nginx-ingress-role-nisa-binding,设置 namespace为nginx-ingress。
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: RoleBinding
metadata:
  name: nginx-ingress-role-nisa-binding
  namespace: nginx-ingress
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: nginx-ingress-role
subjects:
  - kind: ServiceAccount
    name: nginx-ingress-serviceaccount
    namespace: nginx-ingress
  1. 创建RoleBinding
    创建一个RoleBinding。
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: nginx-ingress-clusterrole-nisa-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: nginx-ingress-clusterrole
subjects:
  - kind: ServiceAccount
    name: nginx-ingress-serviceaccount
namespace: nginx-ingress
wenwst
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubectl-who-can:显示谁拥有RBAC权限以对Kubernetes中的不同资源执行操作
02-04
谁能 显示哪些主题具有VERB [TYPE | RBAC]权限TYPE / NAME | Kubernetes中的NONRESOURCEURL]。 安装 有几种安装kubectl-who-can 。 推荐的安装是通过名为的kubectl插件管理器 。 krew 我认为您已经krew 。 然后运行以下命令: kubectl krew install who-can 该插件将以kubectl who-can 。 手册 下载适用于您的操作系统的,将其kubectl-who-can压缩,然后将kubectl-who-can可执行文件添加到$PATH 。 例如,要在macOS上手动安装kubectl
rbac-tool:Kubernetes RBAC Power Toys - 可视化、生成和查询
05-30
Kubernetes RBAC 基于角色的访问控制 (RBAC) 是一种根据组织内单个用户的角色来调节对计算机或网络资源的访问的方法。 RBAC 授权使用rbac.authorization.k8s.io API 组来驱动授权决策,允许您通过 Kubernetes API 动态配置策略。 权限纯粹是附加的(没有“拒绝”规则)。 角色总是在特定的命名空间内设置权限; 创建角色时,必须指定它所属的命名空间。相比之下,ClusterRole 是非命名空间资源。 ClusterRoles有多种用途。 您可以使用 ClusterRole 来: 定义命名空间资源的权限并在单个命名空间内授予权限 定义命名空间资源的权限并在所有命名空间中授予权限 定义集群范围资源的权限 如果要在命名空间中定义角色,请使用 Role; 如果要在集群范围内定义角色,请使用 ClusterRole。 rbac-too
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
audit2rbac 总览 audit2rbac将和用户名作为输入,并生成角色和绑定对象,以覆盖该用户提出的所有API请求。 示范影片 使用说明 获取Kubernetes审核日志,其中包含您希望用户执行的所有API请求: 日志必须为JSON格式。 这要求运行定义了--audit-policy-file的API服务器。 有关更多详细信息,请参见。 audit.k8s.io/v1 audit.k8s.io/v1beta1和audit.k8s.io/v1alpha1事件。 Metadata日志级别最适合最小化日志大小。 要执行所有API调用,有时必须向用户或应用程序授予广泛的访问权限,以免在失败的API请求上使代码路径短路。 最好在开发环境中谨慎执行此操作。 包含来自alice , bob和服务帐户ns1:sa1请求的和可用。 标识您要扫描审核事件并为其生成角色和角色绑定的特定用户: 使用--user <username>指定普通用户 使用--serviceaccount <namespace>:<name>指定服务帐户 运行audit2rbac ,捕获输出: audit2r
rbac.dev:Kubernetes RBAC的良好实践和工具的集合
05-10
一个专门针对Kubernetes RBAC的良好实践和工具的网站。 拉请求和问题都欢迎。 有关RBAC的食谱,技巧和窍门,请参阅 。 Kubernetes官方文档 讲座和文章 Jordan Liggitt的 通过Bitnami Eric Chiang Michael Hausenblas的 Balkrishna Pandey Tom Gallacher 测试Kubernetes RBAC 通过CNCF和Bitnami对Kubernetes中的RBAC进行神秘化处理(视频) 通过Containerum 在RBAC中使用Kubernetes配置权限 StefanBüringer通过开放策略代理授权KubernetesKubernetes中像老板一样配置RBAC,作者EmreSavcı Eviatar Gerzi消除风险性RBAC许可,从而保护Kubernetes集群 利用
权限管理器:权限管理器是一个使Kubernetes RBAC和用户管理,Web UI FTW变得理智的项目
02-03
权限管理员 欢迎使用权限管理器! :party_popper: :party_popper: 权限管理器是由开发的应用程序,它为Kubernetes启用了超级简单且用户友好的RBAC管理。 如果您正在寻找一种简单直观的方式来管理Kubernetes集群中的用户,那么这里就是正确的地方。 使用权限管理器,您可以通过一个简洁的Web UI创建用户,分配名称空间/权限以及分发Kubeconfig YAML文件。 屏幕截图 第一页 创建一个用户 创建用户-摘要 用户的Kubeconfig * 安装 要在群集上部署和运行权限管理器,请遵循 开发设置 我们热爱社区的贡献 :red_heart: 。 了解 常问问题 这个怎么运作 该应用程序允许我们定义和选择权限标准模板(定义谁可以在名称空间或全局范围内执行操作的模板),并将它们与您可能要创建的所有用户相关联。 模板系统是对Cluster-Roles,RoleBinding和ClusterRolesBindigs的抽象。 我们是否打算使用CRD和自定义标签? 当然,它在产品路线图中。 什么是模板 模板是带有前缀的ClusterRo
Kubernetes 安全系列之: RBAC权限错误配置的隐患
SRE进阶之路
02-02 353
我们对K8S集群中的一些 Pod 已采取限制,以防止它们访问 API server。 然而,一位安全分析师刚刚报告说 Pod 仍然可以绕过现有的控制并查询 API。 本文将通过重现攻击来验证问题是否存在,并修复错误的配置。
K8s攻击案例:RBAC配置不当导致集群接管
最新发布
12-18 6816
01、概述Service Account本质是服务账号,是Pod连接K8s集群的凭证。在默认情况下,系统会为创建的Pod提供一个默认的Service Account,用户也可以自定义Service Account,与Service Account关联的凭证会自动挂载到Pod的文件系统中。当攻击者通过某个web应用获取到一个Pod权限时,如果RBAC权限配置不当,Pod关联的Service Acco...
RBAC授权
weixin_30312659的博客
02-09 146
给用户授予RBAC权限没有权限会报如下错误:执行查看资源报错: unable to upgrade connection: Forbidden (user=kubernetes, verb=create, resource=nodes, subresource=proxy) [root@test4 ~]# kubectl exec -it http-test-dm2-6dbd7...
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 474
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC
Kubernetes基础:is forbidden: User YYY cannot list resource的RBAC问题对应
热门推荐
知行合一 止于至善
09-04 1万+
这篇文章memo一下一种常见的RBAC权限问题的判断和对应方法。
Kubernetes 中, 使用 RBAC 授权
k4nz
04-21 367
永久地址:在 Kubernetes 中, 使用 RBAC 授权(保存网址不迷路 ????) 问题描述 该笔记将记录:在 Kubernetes Cluster 中,如何使用 RBAC 及 ServiceAccount 进行权限管理,以及常见问题处理。 解决方案 场景一、限制 kubectl 命令 当集群部署完成之后,使用 kubectl 命令能够控制整个集群,这是因为 ~/.kube/config 的凭证权限足够高。我们不能直接分发该凭证,应该创建新的碰正限制访问权限。 第一步、检查 RBA
error: client-key-data or client-key must be specified for kubernetes-admin to use the clientCert au
程序哥聊面试
06-01 2469
error: client-key-data or client-key must be specified for kubernetes-admin to use the clientCert authentication method.
K8s 中 RBAC 的常见错误及最佳实践
wolaisongfendi的博客
02-08 333
之前的文章中,我们详细介绍了 K8s 中 RBAC 的概念和使用,今天我们继续来聊一下关于 K8s 中 RBAC 的常见错误和使用中的最佳实践。
k8s WEB-UI页面无数据,pod报RABC权限问题
liao__ran的博客
08-19 1258
登陆WEB-UI页面发现无任何数据,整体页面为空 查看 kubernetes-dashboard 的pod日志是RABC权限问题 2021/08/19 07:33:30 [2021-08-19T07:33:30Z] Outcoming response to 10.244.0.0:39799 with 200 status code 2021/08/19 07:33:34 [2021-08-19T07:33:34Z] Incoming HTTP/2.0 GET /api/v1/crd?itemsPerPa
k8s之RBAC实战
u011356878的博客
11-20 953
最近想复习一下k8s的知识,并将之前没做的授权给弄一下。。一切问题就要从这里开始了。 另外本文没不怎么涉及RBAC的理论知识,需要自行学习。 ###一、开启RBAC k8s的组件kube-apiserver是k8s的网关,一切请求都从这里进去。所以我们开启RBAC只需要在该组件配置启动参数。 在/etc/systemd/system/kube-apiserver.service文件新增参数。 ...
kubernetes(k8s)之rbac权限管理详解
qq_44823950的博客
08-14 2030
kubernetes(k8s)之rabc权限
k8s权限控制RBAC
Peerless__的博客
11-14 1258
kubernetes集群所有的交互都是通过apiServer来进行的,因此k8s对权限的控制就尤其重要。从1.6版本起,kubernetes默认启用RBAC访问控制策略。RBAC(Role-Based Access Control):基于角色的访问控制RBAC中4种顶级资源:Role、ClusterRole、RoleBinding、ClusterRoleBinding角色,包含一组权限的规则。没有拒绝规则,只是附加运行。Namespace隔离,只作用于命名空间。
rbac.authorization.k8s.io/v1beta1 RoleBinding is deprecated in v1.17+, unavailable in v1.22+;
枸杞泡茶的博客
10-18 1万+
在k8s中部署ingress的时候出现了下面的错误 Warning: rbac.authorization.k8s.io/v1beta1 ClusterRole is deprecated in v1.17+, unavailable in v1.22+; use rbac.authorization.k8s.io/v1 ClusterRole clusterrole.rbac.authorization.k8s.io/nginx-ingress-clusterrole created Warning:
k8s 基于RBAC的认证、授权介绍和实践
「 虚幻私塾」
01-23 831
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
kubernetes rbac的原理是什么
05-12
Kubernetes RBAC(Role-Based Access Control)是一种基于角色的访问控制机制,它允许管理员控制 Kubernetes 集群中用户和服务的访问权限RBAC 具有以下三个基本组件: 1. Role:定义了一组权限,可以被授予给一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值