Kubernetes(十八)RBAC一sa

最新推荐文章于 2023-05-14 14:08:19 发布
最新推荐文章于 2023-05-14 14:08:19 发布
阅读量136 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/109787589
版权

一  ServiceAccount

使用RBAC鉴权

官网文档

sa也是'ns级别'的

顺序

(1)创建一个 ServiceAccount 对象

'命令行的方式'

kubectl create sa wzj-sa -n kube-system

apiVersion: v1
kind: ServiceAccount
metadata:
  name: wzj-sa
  namespace: kube-system

思考:自己创建的sa有啥特性

 kubectl api-resources  -->也可以看资源对应的'APIGROUP',没有显示则表示是'core'

+++++++++++++++++++  '分割线'  +++++++++++++++++++

说明: 常见是'v1',后续可能是v2或'更高级'

kubectl get --raw /api/v1 | jq . -->'看到core核心的资源对象'

core -->/api/v1/${resource_name}

由于'历史原因',是 /api/v1 下的所有内容而不是在 /apis/core/v1 下面

其他  -->/api/${api_group}/v1/

(2)进行绑定

  1 kind: Role
  2 apiVersion: rbac.authorization.k8s.io/v1
  3 metadata:
  4   name: wzj-role
  5   namespace: kube-system
  6 rules:
  7 - apiGroups: ["","apps"]
  8   resources: ["pods","deploy"]
  9   verbs: ["watch","list","get"]
 10 ---
 11 kind: RoleBinding
 12 apiVersion: rbac.authorization.k8s.io/v1
 13 metadata:
 14   name: wzj-rolebinding
 15   namespace: kube-system
 16 roleRef:
 17   apiGroup: rbac.authorization.k8s.io
 18   kind: Role
 19   name: wzj-role
 20 subjects:
 21 - kind: ServiceAccount
 22   name: wzj-sa
 23   namespace: kube-system

(3)如何验证

我们知道'一个 ServiceAccount' 会生成一个 'Secret 对象'和它进行'映射',这个 Secret 里面包含'一个token',我们可以利用这个 token 去'登录 Dashboard',然后我们就可以在 'Dashboard 中来验证'我们的功能'是否符合预期'

利用该token登录Dashboard

上面的'提示信息'说我们现在使用的这个 ServiceAccount '没有权限'获取当前命名空间下面的资源对象,这是因为我们登录进来后'默认跳转到' default 命名空间,我们'切换到 kube-system 命名空间'下面就可以了

现象: UI默认显示的是'default'的资源,显然不能显示,并且无法切换到'kube-system'命名空间,查看资源

原因: 'ns'也是命名空间的,如果要切换'命名空间',首先要'list namespace-->看有才会尝试切换',所以不能

做法: 在对应的'pods-->资源对象'下面加上'delete'的动作即可

根据自己的需求来对'访问用户'的权限进行限制,可以自己通过 Role 定义更加'细粒度的权限',也可以使用'系统内置'的一些权限

------------- '分割线'  -------------

'程序'要访问api-server中对应的'资源对象',就需要声明一个对应的'service_account',sa要'绑定'一个对应的权限

需求:希望有一个全局访问的ServiceAccount

操作所有的'namespace'下所有的资源 --> 'CURD' --> 'cluster scope'

集群级别的 --> 'ClusterRole' 和 'ClusterRoleinding' 过程'省略'

cluster-admin  '权限最大'

Group的描述

表示ceshi命名空间中的'所有ServiceAccount'

subjects:
- kind: Group
  name: system:serviceaccounts:ceshi
  apiGroup: rbac.authorization.k8s.io

+++++++++++'分割线'++++++++++++

'表示整个系统中的所有ServiceAccount'

subjects:
- kind: Group
  name: system:serviceaccounts
  apiGroup: rbac.authorization.k8s.io

(4)用户帐号和服务帐号的区别

(5)Token管理器

 

wzj_110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RBAC 操作与实现
赤焰军
09-27 4193
1 RBAC简介 RBAC(Role-Based Access Control)策略框架使得操作者允许一个或多个项目(租户)访问自己的资源。通过创建rbac_policy,指定action{access_as_share,access_as_external}、target_tenant_id、object_type{network, qos_policy}等参数来完成。     RBAC可指
kubernetes-rbac-audit:Kubernetes中用于审计RBAC的工具
05-02
ExtensiveRoleCheck是一个Python工具,可扫描Kubernetes RBAC中的危险角色。 该工具是“ Kubernetes Pentest方法论”博客文章系列的一部分。 usage: ExtensiveRoleCheck.py [-h] [--clusterRole CLUSTERROLE] [--...
k8s-RBACSA
fzzjoy的专栏
04-24 523
文章目录RBACRole和RoleBindingRoleRoleBinding验证ClusterRole和ClusterRoleBindingClusterRoleClusterRoleBinding验证定义ServiceAccount参考 RBAC 基于角色的访问控制(Role-Based Access Control, 即”RBAC”)使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。 基于RBAC配置U
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
最新发布
百慕卿君博客
05-14 1733
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权。
k8s-RBAC
kxq的博客
12-22 568
一、认证 1.进入到证书目录 cd /etc/kubernetes/pki/ 2.创建kxq用户的私钥 (umask 077; openssl genrsa -out kxq.key 2048 ) 3.创建kxq用户的证书 openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq" 4.利用ca.crt,ca.key进行签证 [root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.cr
k8s-RBAC原理 - kubernetes认证鉴权准入控制 k8s-serviceaccount-RBAC curl请求k8s API
yuezhilangniao的博客
04-04 372
kubernetes认证,授权概括总结: RBAC简明总结摘要: API Server认证授权过程:   subject(主体)----->认证----->授权【action(可做什么)】------>准入控制【Object(能对那些资源对象做操作)】 认证:   有多种方式,比较常用的:token,tls,user/password 账号:   k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。   它有两种账号: UserAccount(人使用的账号), Ser
026 KubernetesRBAC.mp4
05-07
026 KubernetesRBAC.mp4
rbac.dev:Kubernetes RBAC的良好实践和工具的集合
05-10
一个专门针对Kubernetes RBAC的良好实践和工具的网站。 拉请求和问题都欢迎。 有关RBAC的食谱,技巧和窍门,请参阅 。Kubernetes官方文档讲座和文章Jordan Liggitt的 通过Bitnami Eric ChiangMichael Hausenblas的...
rback:Kubernetes可视化工具中的RBAC
02-04
一个简单的“ Kubernetes中的RBAC”可视化器。 无论设置多么复杂, rback都会在恒定时间内查询Kubernetes集群的所有与RBAC有关的信息,并以格式生成服务帐户,(集群)角色以及各个访问规则的图形表示。 例如,这是...
audit2rbac:基于Kubernetes审核日志自动生成RBAC策略
02-03
获取Kubernetes审核日志,其中包含您希望用户执行的所有API请求: 日志必须为JSON格式。 这要求运行定义了--audit-policy-file的API服务器。 有关更多详细信息,请参见。 audit.k8s.io/v1 audit.k8s.io/v1beta1和...
kubectl create 命令使用
qq_43773590的博客
07-08 7993
kubectl create 命令使用
kubernetes rbac权限认证
噜噜噜的博客
12-23 673
RBAC 基于角色的访问控制,引入了4个资源对象,分别是Role,ClusterRole,RoleBinding,ClusterRoleBinding. 1.角色(ROLE): Role表示是一组规则权限,只能累加,Role可以定义在一个namespace中,只能用于授予对单个命名空间中的资源访问的权限   2.集群角色(ClusterRole) ClusterRole具有与Role相同...
K8S认证、授权与准入控制(RBAC)详解
weixin_33915554的博客
04-17 845
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
kubectl认证 授权 准入控制
Jesse技术博客
09-13 8142
kubernetes 认证及serviceaccount(服务账号) kubernetes中apiservice是唯一访问的入口 认证->授权->准入控制 认证方式: token ssl kubect和node都要双向认证 K8s1.6以上增加了RBAC认证,授权检查 kuberadm是强制使用了kuberadm的授权认证 这都是最高的权限进行管理   用户账号具有以下信息:...
kubectl源码分析之create命令
mark's technic world
05-07 2059
func NewCmdCreate(f cmdutil.Factory, ioStreams genericclioptions.IOStreams) *cobra.Command { o := NewCreateOptions(ioStreams) cmd := &cobra.Command{ Use: "create -f F...
k8s APIserver 安全机制之 rbac 授权
热门推荐
高飞的博客
11-11 25万+
k8s 认证、授权、准入控制机制
K8S 安全认证
elihe2011的专栏
12-27 3919
1. 安全机制 1.1 认证 (Authentication) 1.1.1 认证方式 HTTP Token:Authorization: Bearer $TOKEN HTTP Basic: Authorization: Basic $(base64encode USERNAME:PASSWORD), HTTPS: 基于CA根证书签名的客户端身份认证方式(推荐) 证书颁发: 手动签发:通过k8s集群的根 ca 进行签发 HTTPS 证书 自动签发:kubelet 首次访问 API Serv
kubectl常用命令整理
qq_39291028的博客
01-07 2781
run 描述: 创建并运行一个或多个容器镜像。 创建一个deployment 或job 来管理容器 语法: $ run NAME --image=image [--env="key=value"] [--port=port] [--replicas=replicas] [--dry-run=bool] [--overrides=inline-json] [--command] -- [COMMAND] [args...] 示例: # 启动nginx实例,设置副本数1,暴露容器端口 5701
kubernetes杂谈(一)清除状态为Evicted的pod
wzj_110的博客
08-09 5031
一 现象引入 使用'kubectl get pods --all-namespaces', 发现很多'pod的状态为evicted' 原因 eviction,即'驱赶的意思',意思是当节点出现异常时,kubernetes将有'相应的机制驱赶'该节点上的Pod, 多见于资源不足时导致的驱赶。 注意: 即使集群'状态恢复',eviction状态的pod会'在系统中存在',需要'手动删除' --> 只是影响美观 解决方案 排查'资源和异常原因',防止新的驱赶产生 --&g..
Kubernetes RBAC与Istio服务网格:访问控制详解
本文主要聚焦于基于角色的访问控制(RBAC)和如何在Kubernetes中实现服务网格 Istio 的集成。 首先,Kubernetes的安全性模块包括认证、授权和准入控制,这些功能旨在管理用户、服务账户和集群内对象的访问权限。默认...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值