kubernetes RBAC

最新推荐文章于 2024-03-29 12:49:27 发布
最新推荐文章于 2024-03-29 12:49:27 发布
阅读量239 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuxingge/article/details/103433738
版权

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  • K8S自1.6版本起默认使用基于角色的访问控制(RBAC)
  • 相比于ABAC(基于属性的访问控制)和WebHook等鉴权机制
    • 对集群中的资源的权限实现了完整覆盖
    • 支持权限的动态调整,无需重启apiserver

API server:
subject -----> action ------> object

账号

  • UserAccount
  • ServiceAccount(资源)

认证方式

  • token
  • tls
  • user/password

授权:RBAC

  • role
  • rolebinding
  • clusterrole
  • clusterrolebinding

rolebinding , clusterrolebinding

  • subject:
    • user
    • group
    • serviceaccount
  • role|clusterrole:

role , clusterrole

  • object:
    • resource group
    • resource
    • non-resource url
  • action:
    • get
    • list
    • watch
    • patch
    • delete
    • deletecollection

Object URL

/apis/<GROUP>/<VERSION>/namespace/<NAMESPACE_NAME>/<KIND>[/OBJECT_ID]/

授权插件

  • Node
  • ABAC
  • RBAC
  • Webhook

RBAC

Role-based AC
基于角色访问控制
许可

资源级别

  • 集群(cluster)
  • 名称空间(namespace)

资源

  • role

    • operations
    • objects

  • rolebinding

    • user account OR service account
    • role

  • clusterrole

  • clusterrolebinding

role 和 rolebinding 在名称空间(namespace)级别
clusterrole 和 clusterrolebinding 在集群(cluster)级别

在这里插入图片描述

在这里插入图片描述

创建role

kubectl create role pods-reader --verb=get,list,watch --resource=pods --dry-run -o yaml

role-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  creationTimestamp: null
  name: pods-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

查看role

kubectl get role
kubectl describe role pods-reader

创建rolebinding

kubectl create rolebinding wuxing-read-pods --role=pods-reader --user=wuxing

kubectl create rolebinding wuxing-read-pods --role=pods-reader --user=wuxing --dry-run -o yaml

rolebinding-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  creationTimestamp: null
  name: wuxing-read-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pods-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: wuxing

创建clusterrole

kubectl create clusterrole cluster-reader --verb=get,list,watch --resource=pods -o yaml --dry-run

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: null
  name: cluster-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

clusterrole-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

创建clusterrolebinding

kubectl create clusterrolebinding wuxing-read-all-pods --clusterrole=cluster-reader --user=wuxing --dry-run -o yaml

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  creationTimestamp: null
  name: wuxing-read-all-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: wuxing

clusterrolebinding-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: wuxing-read-all-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: wuxing

创建rolebinding 绑定clusterrole

kubectl create rolebinding wuxing-read-pods --clusterrole=cluster-reader --user=wuxing --dry-run -o yaml

rolebinding-clusterrole-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: wuxing-read-pods
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: wuxing

clusterrole admin作用

kubectl get clusterrole admin -o yaml

aggregationRule:
  clusterRoleSelectors:
  - matchLabels:
      rbac.authorization.k8s.io/aggregate-to-admin: "true"
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: "2019-05-31T02:40:59Z"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: admin
  resourceVersion: "356"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/admin
  uid: 85be217a-834d-11e9-8680-000c29b4d624
rules:
- apiGroups:
  - ""
  resources:
  - pods/attach
  - pods/exec
  - pods/portforward
  - pods/proxy
  - secrets
  - services/proxy
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - serviceaccounts
  verbs:
  - impersonate
- apiGroups:
  - ""
  resources:
  - pods
  - pods/attach
  - pods/exec
  - pods/portforward
  - pods/proxy
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update
- apiGroups:
  - ""
  resources:
  - configmaps
  - endpoints
  - persistentvolumeclaims
  - replicationcontrollers
  - replicationcontrollers/scale
  - secrets
  - serviceaccounts
  - services
  - services/proxy
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update
- apiGroups:
  - apps
  resources:
  - daemonsets
  - deployments
  - deployments/rollback
  - deployments/scale
  - replicasets
  - replicasets/scale
  - statefulsets
  - statefulsets/scale
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update
- apiGroups:
  - autoscaling
  resources:
  - horizontalpodautoscalers
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update
- apiGroups:
  - batch
  resources:
  - cronjobs
  - jobs
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update
- apiGroups:
  - extensions
  resources:
  - daemonsets
  - deployments
  - deployments/rollback
  - deployments/scale
  - ingresses
  - networkpolicies
  - replicasets
  - replicasets/scale
  - replicationcontrollers/scale
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update
- apiGroups:
  - policy
  resources:
  - poddisruptionbudgets
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update
- apiGroups:
  - networking.k8s.io
  resources:
  - networkpolicies
  verbs:
  - create
  - delete
  - deletecollection
  - patch
  - update
- apiGroups:
  - ""
  resources:
  - configmaps
  - endpoints
  - persistentvolumeclaims
  - pods
  - replicationcontrollers
  - replicationcontrollers/scale
  - serviceaccounts
  - services
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - bindings
  - events
  - limitranges
  - namespaces/status
  - pods/log
  - pods/status
  - replicationcontrollers/status
  - resourcequotas
  - resourcequotas/status
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - namespaces
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - apps
  resources:
  - controllerrevisions
  - daemonsets
  - deployments
  - deployments/scale
  - replicasets
  - replicasets/scale
  - statefulsets
  - statefulsets/scale
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - autoscaling
  resources:
  - horizontalpodautoscalers
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - batch
  resources:
  - cronjobs
  - jobs
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - extensions
  resources:
  - daemonsets
  - deployments
  - deployments/scale
  - ingresses
  - networkpolicies
  - replicasets
  - replicasets/scale
  - replicationcontrollers/scale
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - policy
  resources:
  - poddisruptionbudgets
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - networking.k8s.io
  resources:
  - networkpolicies
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - authorization.k8s.io
  resources:
  - localsubjectaccessreviews
  verbs:
  - create
- apiGroups:
  - rbac.authorization.k8s.io
  resources:
  - rolebindings
  - roles
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch

kubectl create rolebinding default-ns-admin --clusterrole=admin --user=wuxing

kubectl get clusterrolebindings.rbac.authorization.k8s.io cluster-admin -o yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: "2019-05-31T02:40:59Z"
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "94"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin
  uid: 861aa453-834d-11e9-8680-000c29b4d624
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:masters
wuxingge
关注
专栏目录
Kubernetes学习之RBAC
Micky_Yang的博客
09-17 318
一、访问控制概述   API Server作为Kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,余下所有需要访问集群资源的组件,包括kube-controller-manager、kube-scheduler、kubelet和kube-proxy等集群基础组件、CoreDNS等集群的附加组件以及此前使用的kubelet命令等都要经由网关进行集群访问和管理。这些客户端均要经由API Server访问或改变集群状态并完成数据存储,并由它对每一次的访问请求进行合法性校验,包括用户身份鉴别、操作权
rbac-tool:Kubernetes RBAC Power Toys - 可视化、生成和查询
05-30
Kubernetes RBAC 基于角色的访问控制 (RBAC) 是一种根据组织内单个用户的角色来调节对计算机或网络资源的访问的方法。 RBAC 授权使用rbac.authorization.k8s.io API 组来驱动授权决策,允许您通过 Kubernetes API ...
Kubernetes RBAC源码解析
weixin_33928137的博客
08-14 215
Kubernetes RBAC源码解析 RBAC基础概念 在kubernetes 1.6版本中,正式引入了角色访问控制机制(Role-Based Access Control,RBAC),让集群管理员可以针对使用者(user或者group)或服务账号(service account),进行更精确的资源访问控制。 在正式对kubernete...
KubernetesRBAC
weixin_50071922的博客
10-08 278
文章目录前言一、RBAC API 对象二、创建一个只能访问某个namespace的用户二、使用步骤1.引入库2.读入数据总结 前言 RBAC 使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启动RBAC,需要在 apiserver 中添加参数 --authorization - mode - RBAC,如果使用 kubeadm 安装的集群,1.6版本以上都默认开启了 RBAC, 可以通过查看Maste
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
weixin_34221073的博客
11-24 145
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,kubernetes1.8.2安装包 | kubernetes1.9.2安装包好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespace下的pod 命令行kubectl访问 安装cfssl 此...
kubernetes系列】KubernetesRBAC
margu_168的博客
07-11 1255
k8s的权限控制在实际工作中不那么经常使用,但是却是很重要的,我们需要深入理解才能很好的解决某些问题。在我们现目前的了解中,常用的授权插件有以下几种: Node(节点认证) ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) Webhook(基于http回调机制的访问控制)kubernetes 集群相关所有的交互都需要通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,Kubernetes的授权是基于插件形式的,在1.5版的时候引入了基于角色的访问控制(Role-Bas
krane:Kubernetes RBAC静态分析和可视化工具
02-03
Kubernetes RBAC分析变得简单 Krane是一个简单的Kubernetes RBAC静态分析工具。 它确定了K8的RBAC设计中的潜在安全风险,并就如何减轻这些风险提出了建议。 Krane仪表板显示了当前的RBAC安全状态,并允许您浏览其...
Kubernetes RBAC with Openssl Authentication.pdf
08-22
Kubernetes RBAC与OpenSSL认证 Kubernetes作为一款流行的开源容器编排平台,它的安全特性对于维护集群的稳定性和安全性至关重要。其中,基于角色的访问控制(RBAC)和基于OpenSSL的认证机制是Kubernetes安全策略中...
rbacsync:自动将组同步到Kubernetes RBAC
02-03
该项目提供了一个Kubernetes控制器,用于使用合并的配置对象从组成员身份源同步Kubernetes 使用的RoleBindings和ClusterRoleBindings。 提供的配置对象使您可以定义“虚拟”组,从而创建直接引用组中所有用户的...
kubectl-rolesum:总结指定主题的Kubernetes RBAC角色
02-03
总结指定主题(ServiceAccount,用户和组)的RBAC角色。 安装 krew 是k8s插件的软件包管理器。 请参阅以获取更多详细信息。 kubectl krew install rolesum 自制软件(适用于MacOS) Roleum支持 :beer_mug: brew...
rback:Kubernetes可视化工具中的RBAC
02-04
后退 一个简单的“ Kubernetes中的RBAC”可视化器。 无论设置多么复杂, rback都会在恒定时间内查询Kubernetes集群的所有与RBAC有关的信息,并以格式生成服务帐户,(集群)角色以及各个访问规则的图形表示。 例如,这是rback所见的Amazon EKS集群: 另一个示例是本地K3S集群: 在: 有关更多详细信息,请参见目录… 安装 rback取决于您是否rback访问Kubernetes集群,无论是在云中(例如Amazon EKS)还是在本地(k3s,kind,Minikube,Docker for Desktop)以及在kubectl安装和配置的kubect
Kubernetes集群安全机制(RBAC)
bright的博客
03-09 299
Kubernetes api-server 安全访问机制kube-apiserver 是 k8s 整个集群的入口,是一个 REST API 服务,提供的 API 实现了 Kubernetes 各类资源对象(如 Pod,RC,Service 等)的增、删、改、查,API Server 也是集群内各个功能模块之间交互和通信的枢纽,是整个集群的总线和数据中心。由此可见 API Server 的重要性了,...
Kubernetes RBAC 详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
03-24 2262
原文链接:Kubernetes RBAC 详解 前面两节课我们学习了Kubernetes中的两个用于配置信息的重要资源对象:ConfigMap和Secret,其实到这里我们基本上学习的内容已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前,我们还需要给大家讲解一个重要的概念:RBAC - 基于角色的访问控制。 RBAC使用rba...
Kubernetes集群中RBAC简介
最新发布
tyxjolin的专栏
03-29 1053
Kubernetes中,RBAC 是一种标准的权限控制机制,允许管理员通过角色来限制特定用户或用户组对集群资源的访问权限。RBAC主要使用四个Kubernetes API资源来定义和实施权限:Role您可以使用YAML文件来定义角色的权限。kind: Rolemetadata:rules:以上定义了一个名为pod-reader的角色,它可以在默认命名空间中获取(get)、观察(watch)并列出(list)Pods。接下来,使用YAML文件来定义角色绑定。
kubernetes(k8s)之rbac权限管理详解
qq_44823950的博客
08-14 2250
kubernetes(k8s)之rabc权限
Kubernetes(k8s)权限管理RBAC详解
匠人精神,持之以恒!
10-16 8266
文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制(以ServiceAccount展开讲解)1)介绍2)Role和ClusterRole3)RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1)User1、创建K8S 用户2、对用户授权2)Group1、创建K8S 用户和用户组2、对组授权3)ServiceAccount4)为ServiceAccount生成Tok
Kubernetes K8S之鉴权RBAC详解
weixin_45032957的博客
12-16 780
RBAC API类型 RBAC API 所声明的四种顶级类型【Role、ClusterRole、RoleBinding 和 ClusterRoleBinding】。用户可以像与其他 API 资源交互一样,(通过 kubectl API 调用等方式)与这些资源交互。 Role 和 ClusterRole 在 RBAC API 中,一个角色包含一组相关权限的规则。权限是纯粹累加的(不存在拒绝某操作的规则),即只能给权限累加,不存在给了XX权限,然后去掉XX01权限的情况。角色可以用 Role 来定义到某个命名空
kubernetes RBAC授权配置
zorsea的博客
03-22 485
一、RBAC授权流程图: 角色分类有两种: Role:普通角色,可以应用于某一个命名空间,使用的是RoleBinding与User、Group、serviceaccount进行角色绑定 ClusterRole:集群角色,应用于整个集群,所有命名空间,使用的是ClusterRoleBinding与User、Group、serviceaccount进行集群角色绑定 主体: User:根据ssl...
Kubernetes RBAC与OpenSSL身份验证:详解与示例
Kubernetes RBAC (Role-Based Access Control) 是一种强大的权限管理机制,它利用 "rbac.authorization.k8s.io" API 组来驱动访问决策,管理员可以根据需要动态地设置策略,以确保集群资源的安全性和灵活性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wuxingge

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值