CC00219.CloudKubernetes——|KuberNetes&细粒度权限控制.V03|——|RBAC.v03|

已于 2022-04-02 16:32:22 修改
阅读量107 收藏
点赞数
分类专栏: cloudv017——kubernetes.v002 文章标签: java docker rabbitmq hadoop kubernetes
于 2022-03-31 12:55:00 首次发布
不予转载
本文链接:https://blog.csdn.net/yanqi_vip/article/details/123874769
版权
一、role和ClusterRole使用场景 
### --- role和ClusterRole

~~~     # 该使用role还是该使用ClusterRole?    
~~~     当为某一个namespace去创建一个单独的role的话是没有去创建ClusterRole的,
~~~     若是有很多namespace,需要创建相同的权限,这时候创建ClusterRole是比较合理的,
~~~     因为ClusterRole既可以作用于整个集群也可以作用于单个集群。
~~~     这个作用于谁呢?取决于RoleBinding和ClusterroleBingding
~~~     RoleBinding作用于命名空间内,将ClusterRole绑定到user,group,ServiceAccount
~~~     # ClusterRoleBinding:
~~~     也是将ClusterRole绑定到user,group,ServiceAccount,只是作用于整个集群。
二、RoleBinding的用途 
### --- 查看ingress-nginx的RoleBinding

[root@k8s-master01 ~]# kubectl get rolebinding --all-namespaces
NAMESPACE              NAME                                                ROLE                                                  AGE
ingress-nginx          ingress-nginx                                       Role/ingress-nginx                                    10d
~~~     # 这个serviceaccount会经常会用到的,它会把一些权限定义到serviceaccount上,
~~~     这个ServiceAccount可以直接给pod去用,
~~~     就是启动pod的时候可以直接指定用哪个ServiceAccount去启用

[root@k8s-master01 ~]# kubectl get rolebinding ingress-nginx -n ingress-nginx -oyaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding                   // 查看到RoleBinding作用于ingress-nginx这个namespace
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role                        // 它把这个role绑定到了ingress-nginx的这个角色上面
  name: ingress-nginx
subjects:
- kind: ServiceAccount              // 这个serviceaccount所在的namespace所在是在ingree-nginx的namespace下
  name: ingress-nginx               // 它把这个role绑定到了ingress-nginx的这个角色上面
  namespace: ingress-nginx
### --- 查看ingress-nginx的ServiceAccount的权限

[root@k8s-master01 ~]# kubectl edit ds -n ingress-nginx
       securityContext: {}
      serviceAccount: ingress-nginx     // 指定了运行容器的serviceaccount是谁,
      serviceAccountName: ingress-nginx // 就会以这个serviceaccount去运行这个容器,这个容器就会有ServiceAccount这个权限,也就是说,它有了这个名字为ingress-nginx的ServiceAccount的权限。
      terminationGracePeriodSeconds: 300
三、创建一个RoleBinding并绑定用户 
### --- 就是首先创建了一个role,

[root@k8s-master01 ~]# kubectl get role -n ingress-nginx
NAME            CREATED AT
ingress-nginx   2021-04-21T16:09:29Z
### --- 这个role定义了一些权限

[root@k8s-master01 ~]# kubectl get role -n ingress-nginx -oyaml
- apiVersion: rbac.authorization.k8s.io/v1
  kind: Role
      manager: Go-http-client
      operation: Update
      time: "2021-04-21T16:09:29Z"
    name: ingress-nginx             // 这个角色具有了下面的权限
    namespace: ingress-nginx  
  rules:                            // 权限列表
  - apiGroups:
    - ""
    resources:
    - namespaces
    verbs:
    - get
### --- 把这个角色的权限绑定到一个叫ingress-nginx的ServiceAccount上面,

[root@k8s-master01 ~]# kubectl get rolebinding -n ingress-nginx -oyaml
  roleRef:
    apiGroup: rbac.authorization.k8s.io
    kind: Role
    name: ingress-nginx
  subjects:
  - kind: ServiceAccount            // 这个serviceaccount就有了上面创建的role所有的权限
    name: ingress-nginx             // 把这个角色的权限绑定到一个叫ingress-nginx的ServiceAccount上面,
    namespace: ingress-nginx
### --- 又在ds的serviceaccount里面,设置了serviceaccountname的名字叫ubgress-nginx,
~~~     就是绑定权限的ServiceAccount
~~~     注:所以说这个pod就是以这个身份去启动的然后这个pod就具有了这个ServiceAccount:
~~~     ingress-nginx 的所有的权限 
~~~     若是不指定这个serviceacount的权限,就是以默认的的default去启动。
~~~     default是没有什么权限的。
[root@k8s-master01 ~]# kubectl edit ds -n ingress-nginx
      securityContext: {}
      serviceAccount: ingress-nginx         
      serviceAccountName: ingress-nginx // 又在ds的serviceaccount里面,设置了serviceaccountname的名字叫ubgress-nginx,就是绑定权限的ServiceAccount
四、ClusterRoleBinding用途 
### --- 查找一个具有ClusterRoleBinding权限的容器
~~~     注:在创建dashboard的时候有一个步骤是创建admin用户,

[root@k8s-master01 ~]# kubectl get clusterrolebinding
NAME                                                   ROLE                                                                               AGE
kubernetes-dashboard                                   ClusterRole/kubernetes-dashboard
### --- admin用户具有权限的操作:
~~~     查看ClusterRoleBinding配置的权限

[root@k8s-master01 ~]# kubectl get clusterrolebinding kubernetes-dashboard -oyaml
### --- 创建管理员用户的时候创建了一个admin-user的角色
~~~     查看admin-user用户

[root@k8s-master01 ~]# kubectl get clusterrolebinding admin-user -oyaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding                                            //ClusterRoleBinding集群角色绑定
*****省略部分内容***********
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole         
  name: cluster-admin                                               //把cluser-admin的clusterrole绑定到admin-user的serviceaccount上面
subjects:
- kind: ServiceAccount
  name: admin-user
  namespace: kube-system
yanqi_vip
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
快速搭建Kubernetes (K8S)平台
lcw6652532的博客
11-26 2449
保姆级教程搭建Kubernetes (K8S)平台
【云原生 | Kubernetes 实战】18、K8s 安全实战篇之 RBAC 认证授权(上)
Stars.Sky 的博客
12-29 1129
k8s 安全管理:认证、授权、准入控制概述
Kubernetes详解(五十五)——ClusterRole与RoleBinding
永远是少年
05-11 2591
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes ClusterRole创建和Rolebinding。 一、Kubernetes ClusterRole创建 二、Kubernetes Rolebinding 三、效果展示
【 云原生 kubernetes 】- 基于角色的访问控制RBAC
ycloud
10-15 463
RBAC是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 简言之,不同用户之间拥有不同的访问权限,就像我们在使用ELK日志系统时,运维人员具有最高权限,根据其他人员的需求对不同的index分配可读,可写,只读,只写,其他各种权限
kubectl命令总结
柠是柠檬的檬的博客
08-19 3661
kubectl命令总结
基于Django3.2.6与DRF3.x的迷你RBAC权限管理服务器源码
03-25
项目概述:迷你RBAC权限管理服务器是基于Django 3.2.6与...本项目名为"mini-rbac",旨在提供轻量级的角色基础访问控制服务,方便进行权限管理和资源保护,适用于需要在Django和DRF框架下快速实现权限控制的中小型项目。
基于Django和Vue的RBAC权限控制后台管理系统源码
03-25
项目概述:本源码为基于角色基础访问控制RBAC)模型的中小型应用开发平台,采用前后端分离架构。后端基于Python的Django框架和Django REST Framework实现,前端则使用Vue.js配合ElementUI进行构建。移动端支持通过...
rbac权限控制框架:1.支持角色继承,数据组,行为组.zip
05-08
rbac权限控制框架:1.支持角色继承,数据组,行为组.zip abac,rbac权限控制框架 支持角色继承,数据组,行为组 支持动态角色和静态角色 usage 用户与角色需要额外维护 权限控制规则默认驻留内存, 可自定义RuleRepository...
rbac.dev:Kubernetes RBAC的良好实践和工具的集合
05-10
通过Containerum 在RBAC中使用Kubernetes配置权限StefanBüringer通过开放策略代理授权KubernetesKubernetes中像老板一样配置RBAC,作者EmreSavcı Eviatar Gerzi消除风险性RBAC许可,从而保护Kubernetes集群利用
基于RBAC模型权限控制的中小型应用的基础开发平台.zip
04-03
本项目“基于RBAC模型权限控制的中小型应用的基础开发平台”提供了这样一个框架,它结合了现代Web开发技术,包括后端的Django与Django Rest Framework,前端的Vue.js与ElementUI,以及移动端的UniApp和uView。...
k8s资源之role&rolebinding&clusterrole&clusterrolebinding
mark's technic world
12-31 8969
发布一个k8s部署视频:https://edu.csdn.net/course/detail/26967 课程内容:各种k8s部署方式。包括minikube部署,kubeadm部署,kubeasz部署,rancher部署,k3s部署。包括开发测试环境部署k8s,和生产环境部署k8s。 第二个视频发布https://edu.csdn.net/course/detail/27109 介绍主要...
报错!clusterrolebindings.rbac.authorization.k8s.io “cluster-admin-binding“ already exists解决办法
weixin_47153988的博客
09-29 7506
项目场景: 在使用二进制部署k8s群集时,遇到了签名证书无法创建的问题 问题描述: 在创建bootstrap角色赋予权限用于连接apiserver请求签名时,出现以下报错信息: [root@master kubeconfig]# kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap Error from server (Alread
k8s权限配置(ServiceAccount、RoleClusterRole
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
k8s rbac 角色管理
xiaoqingyu123的博客
02-19 718
关于RBAC的概念我这里就不阐述了(能力有限说不明白) role权限的集合,定义了这个角色有什么权限binding 是关联这个权限集合,让你继承role权限。 k8s使用上经常犯的错误: binding时没有指定用户,自定义的证书里面是写了用户的,去匹配k8s里面同名的用户去获取权限。 正确: 错误: 证书制作: 官网步骤如下: 1. 创建key openssl genrsa -out server.key 2048 2. 创建 csr,指定用户(CN.
k8s--普通k8s集群---使用rolebinding限制或增加访问命名空间以及可执行操作权限
直到世界的尽头
11-13 1万+
权限控制原理 RBAC——基于角色的访问控制 基于角色的访问控制(Role-Based Access Control, 即”RBAC”) k8s使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。 也就是说 每个k8s用户调用k8s的api时,都会经过一层角色的权限校验,比如 我当前的用户或者 服务账户(serviceaccount)关联的是哪一个角色,就拥有这一个角色的访问权限。 基于这样的原理,k8s可以很灵
service,Role,ClusterRole,RoleBinding,ClusterRoleBinding
qq_39833857的博客
08-19 946
Service的基础概念 在kubernetes中,pod是应用程序的载体,我们可以通过pod的ip来访问应用程序,但是pod的ip地址不是固定的,这也就意味着不方便直接采用pod的ip对服务进行访问。 Service会对提供同一个服务的多个pod进行聚合,并且提供一个统一的入口地址。通过访问Service的入口地址就能访问到后面的pod服务。 Service在很多情况下只是一个概念,真正起作用的其实是kube-proxy服务进程,每个Node节点上都运行着一个kube-proxy服务进程。当创建Serv
从零开始入门 K8s | K8s 安全之访问控制
阿里云云栖号
03-24 1897
作者 | 匡大虎 阿里巴巴技术专家 本文整理自《CNCF x Alibaba 云原生技术公开课》第 27 讲,点击直达课程页面。 关注“阿里巴巴云原生”公众号,回复关键词“入门”,即可下载从零入门 K8s 系列文章 PPT。 导读:访问控制是云原生安全的一个重要组成部分,也是 K8s 集群在多租环境下必要且基本的安全加固手段。在 K8s 体系中,访问控制又分为三个重要的组成部分,请求...
开发多线程程序时,需要注意那些问题
最新发布
OO_SEN的博客
08-23 534
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
Yolov8:模型部署到安卓端
m0_70694811的博客
08-21 773
下载安装jdk-8u202-windows-x64.exe,这篇文章有百度网盘资源链接,直接下载,并按照这篇文章的JDK步骤进行安装和环境变量配置。C:\Program Files\Java\jdk-1.8\bin和C:\Program Files\Java\jdk-1.8\jre\bin。比如因为我的jdk路径是C:\Program Files\Java\jdk-1.8,所以这两个相对路径就改成。参考这边文章的USB驱动设置和手机端设置。同意协议后,下载相应版本的JDK。
Kubernetes RBAC:角色与权限控制的基石
开发者可以利用插件机制扩展Kubernetes的功能,但在此之前,必须掌握如何通过RBAC系统设计和配置角色,以实现细粒度权限控制。 为了实现自定义编排对象和控制器,开发者需要通过外部插件与Kubernetes交互,并且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yanqi_vip

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值