Kubernetes(十七)RBAC一user

最新推荐文章于 2023-08-17 14:06:06 发布
最新推荐文章于 2023-08-17 14:06:06 发布
阅读量181 收藏 1
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/109733072
版权

一    RBAC的概念

RBAC是基于角色访问控制(Role-Based Access Control)

通俗的讲:

1)先定义某个'角色-->role'能做的事情-->'actions'-->'verbs'

2)再将这个角色'授予'某个人-->'授权'-->'授权的动作如何表现'

3)当'人-->user'做这些事情的时候,'校验'他的凭证'token'里面是否'携带了'对应的'角色',如果有对应的角色,则'鉴权成功',允许它做

备注: 更常用的方法是,将'role'和'用户组'绑定,给用户授权的时候,直接将用户'加入对应的用户组'即可

案例讲解

1) 定义一个'Role'-->name=admin,拥有这个'角色的用户'能够'调用'所有的'ECS API'

2) 授权给'wzj':把'admin'放入一个用户组'ECS_Admin',再将'wzj'放入用户组

3) 鉴权:'wzj'获取自己的访问凭证'token',使用凭证调用'ECS API'创建虚拟机,ECS服务解析凭证,并校验凭证'role'字段中是否含有'admin',若有则'同意'该次调用

二    k8s中RBAC的应用

开启RBAC

Java中的RBAC

之前写过的一篇简介文章

subject -->'用户、group、serviceaccount的综合'

说明: kubectl上'会绑定user',kubectl就是一个工具

三   案例讲解

(1)需求1

创建一个 'User Account-->普通用户',只能'only'访问 'kube-system' 这个命名空间,对应的'用户信息'如下所示

username: wzj

group: home

①  创建用户凭据

[root@master userrbac]#  'openssl genrsa -out wzj.key 2048'
Generating RSA private key, 2048 bit long modulus
...................................+++
........................+++
e is 65537 (0x10001)
[root@master userrbac]# 'ls'
'wzj.key'

②  使用我们刚刚创建的私钥创建一个证书签名请求文件wzj.csr

要注意需要确保在'-subj参数'中指定'用户名和组'-->'CN表示用户名,O表示组'
[root@master userrbac]# openssl req -new -key wzj.key -out wzj.csr -subj "/CN=wzj/O=home"
[root@master userrbac]# ls
'wzj.csr'  wzj.key

③  ca.crt 和 ca.key两个文件来批准上面的证书请求,生成最终的证书文件

[root@master userrbac] openssl x509 -req '-in wzj.csr' -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial '-out wzj.crt' -days 500
Signature ok
subject=/CN=wzj/O=home
Getting CA Private Key
[root@master userrbac]# ls
'wzj.crt'  wzj.csr  wzj.key

④  使用刚刚创建的证书文件和私钥文件在集群中创建新的凭证上下文(Context)

'证书-->crt'和'私钥-->key'文件
[root@master userrbac]# kubectl config set-credentials wzj --client-certificate=wzj.crt --client-key=wzj.key --embed-certs=true
User "wzj" set -->'提示信息'

把证书嵌入到yaml文件中-->'--embed-certs=true'

⑤ 创建上下文

我们可以看到一个'用户 wzj' 创建了,然后为这个用户'设置新的 Context',我们这里'指定特定'的一个 namespace

+++++++++++++++ '分割线' +++++++++++++++

[root@master userrbac]# kubectl config set-context wzj-context --cluster=kubernetes --namespace=kube-system --user=wzj
Context "wzj-context" created.

备注: 为'哪个用户-->user'设置上下文,上下文的名称'wzj-context',针对哪个集群'kubernetes'的命令空间'namespace'

注意: 'wzj-context'这个上下文关联的是'wzj'这个用户

⑥  测试

重点: ""表示是'核心组-->core'、资源'pods'、权限'list'

注意看'日志报错'

⑦  创建角色

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: wzj-role
  namespace: kube-system
rules:
- apiGroups: [""]          -->'操作资源所在的用户组;一个资源可能有多个用户组' -->'空串表示core'
  resources: ["pods"]
  verbs: ["list"]

+++++++++++++++ '分割线'

创建的role,和用户'wzj'没有任何关系,所以需要把'user和角色'绑定

⑧  角色绑定

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: wzj-rolebinding
  namespace: kube-system
subjects:
- kind: User   -->'三种类型中的一种'
  name: wzj    -->'用户的名称'
  apiGroup: ""
roleRef:
  kind: Role
  name: wzj-role
  apiGroup: rbac.authorization.k8s.io  'Role的'

⑨  运行

⑩  测试

context'已经包含namespace' -->如果不指定'ns',默认就是kube-system

user专门是给'kubectl工具'使用的

多个的形式

 

wzj_110
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes10——访问控制(serviceaccount、useraccount、RBAC
qwejiaji的博客
08-05 845
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
kuberneteskubernetes api访问控制、useraccount和serviceaccount的创建和绑定、rbac基于角色的访问授权
weixin_43384009的博客
05-07 2890
kubernetes1. kubernetes api访问控制2. 访问k8s的API Server的客户端3. UserAccount与serviceaccount3.1 创建serviceaccount:3.2 添加secrets到serviceaccount中3.3 把serviceaccount和pod绑定起来:3.4 创建useraccount4. RBAC基于角色访问控制授权4.1 R...
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1412
梳理出UserAccount用户账号一条线
深入理解 Kubernetes 中的用户与身份认证授权
云原生实验室
11-23 954
❝本文转自 Cylon 的博客,原文:https://www.cnblogs.com/Cylon/p/16905335.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang本章主要简单阐述 kubernetes 认证相关原理,最后以实验来阐述 kubernetes 用户系统的思路。主要内容:了解 kubernetes 各种认证机制的原理了解 kubernet...
k8s实践2:userrbac绑定
weixin_34149796的博客
03-05 374
1.开始前,想个问题?在部署kubectl,kube-scheduler,kube-controller-manager,kubelet,都创建了user或者sa(service account).创建的user和sa都具有rbac分配的权限操作api.这个权限是怎么生成分配的呢? 2.新建一个user记录整个过程 向ca申请证书,私钥,csr(自动生成&&证书签名请求&&...
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
获取Kubernetes审核日志,其中包含您希望用户执行的所有API请求: 日志必须为JSON格式。 这要求运行定义了--audit-policy-file的API服务器。 有关更多详细信息,请参见。 audit.k8s.io/v1 audit.k8s.io/v1beta1和...
权限管理器:权限管理器是一个使Kubernetes RBAC和用户管理,Web UI FTW变得理智的项目
02-03
权限管理器是由开发的应用程序,它为Kubernetes启用了超级简单且用户友好的RBAC管理。 如果您正在寻找一种简单直观的方式来管理Kubernetes集群中的用户,那么这里就是正确的地方。 使用权限管理器,您可以通过一个...
RBAC实验手册1
08-03
Kubernetes环境中,Role-Based Access Control (RBAC) 是一种重要的权限管理机制,它允许管理员精细控制用户或服务账户对集群资源的访问。本实验手册主要涵盖了如何在Kubernetes中创建和配置RBAC规则,以及如何...
3、Kubernetes 集群安全 - 鉴权1
08-04
Kubernetes 集群安全 - 鉴权1 Kubernetes 集群安全是确保集群安全的重要方面之一,而...RBACKubernetes 集群安全中的一个重要组件,它提供了一种灵活的权限控制和访问控制机制,可以满足不同场景下的安全需求。
Kubernetes 集群安全-教程与笔记习题
05-22
Kubernetes集群中,安全是至关重要的,因为它保护了应用程序和服务免受未经授权的访问和潜在攻击。本教程将深入探讨Kubernetes集群的安全性,特别是关注授权...理解并熟练运用RBAC是保障Kubernetes集群安全的基础。
k8s UserAccount权限控制
w01k
05-10 9292
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源:PodsPVConfigMapsDeploymentsNodesSecretsNamespaces资源与api group关联(如pods属于core api group,deployments属于apps api group)。在RBAC中的几个概念:Rule...
rbac用户权限管理_kubernetes用户管理rbac
weixin_26720549的博客
09-03 522
rbac用户权限管理介绍(Introduction) This time, when I was checking the operation of RBAC, it became a story of user management.这次,当我检查RBAC的运行时,它成为了用户管理的故事。 用户认证设置 (User authentication settings) Kubernetes pro...
kubernetes 创建RBAC 用户的例子
纵横四海的博客
09-12 2804
创建Service Account vi demo-serviceaccount.yaml apiVersion: v1 kind: ServiceAccount metadata: name: admin-user namespace: kube-system [root@master-47-35 service-account]# kubectl create -f de...
Kubernetes中的角色访问控制机制(RBAC)支持
Kubernetes中文社区
05-25 7447
原标题: RBAC Support in Kubernetes Kubernetes 中的 RBAC 支持 PS:在Kubernetes1.6版本中新增角色访问控制机制(Role-Based Access,RBAC)让集群管理员可以针对特定使用者或服务账号的角色,进行更精确的资源访问控制。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简
Kubernetes生产实践系列之一:Kubernetes基于RBAC的访问权限控制
cloudvtech的博客
05-01 1705
一、前言 Kubernetes通过namespace和serviceaccount进行粗粒度的资源和访问控制,通过role和rolebinding进行细粒度的控制。
K8S用户管理体系介绍
最新发布
singless的博客
08-17 1300
在k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s的管理人员使用的账户,也就是我们使用的账户。
Kubernetes详解(五十一)——Kubernetes用户创建
永远是少年
05-09 2757
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes证书生成 二、Kubernetes用户创建
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
Kubernetes中文社区
12-06 7130
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespa
给用户授予RBAC权限 user 绑定 clusterRole
muzi_since的博客
06-14 727
给用户授予RBAC权限 没有权限会报如下错误: 执行查看资源报错: unable to upgrade connection: Forbidden (user=kubernetes, verb=create, resource=nodes, subresource=proxy) root@test4 ~]# kubectl exec -it http-test-dm2-6dbd76c7dd-cv9qf sh error: unable to upgrade connection: Forbidden (us
kubernetes-dashboard 部署
06-08
Kubernetes Dashboard 是 Kubernetes 官方提供的一个 Web 界面,用于管理 Kubernetes 集群。以下是部署 Kubernetes Dashboard 的步骤: 1. 下载 Kubernetes Dashboard YAML 文件: ```bash curl -LO ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值