Kubernetes 权限管理 RABC

最新推荐文章于 2024-02-20 15:12:38 发布
最新推荐文章于 2024-02-20 15:12:38 发布
阅读量435 收藏
点赞数 1
分类专栏: Kubernetes 文章标签: k8s RABC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yujia_666/article/details/120004199
版权

kubernetes 主要通过 APIServer 对外提供服务,对于这样的系统集群来说,请求访问的安全性是非常重要的考虑因素。如果不对请求加以限制,那么会导致请求被滥用,甚至被黑客攻击。

kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。

下图是 API 访问要经过的三个步骤,前面两个是认证和授权,第三个是 Admission Control,它也能在一定程度上提高安全性,不过更多是资源管理方面的作用。

NOTE: 只有通过 HTTPS 访问的时候才会通过认证和授权,HTTP 不需要。

 

Authentication (认证)

All Kubernetes clusters have two categories of users: service accounts managed by Kubernetes, and normal users.

当您(真人用户)访问集群(例如使用kubectl命令)时,apiserver 会将您认证为一个特定的 User Account(目前通常是admin,除非您的系统管理员自定义了集群配置)。Pod 容器中的进程也可以与 apiserver 联系。 当它们在联系 apiserver 的时候,它们会被认证为一个特定的 Service Account(例如default)。

normal users

normal users 由外部系统管理,并不由 kubernetes 管理,kubernetesq API中也没有关于 normal users 的定义,所以不能通过 kubernetes API 创建和管理。

service accounts

Service Account 用来访问 kubernetes API,通过 kubernetes API 创建和管理,每个 account 只能在一个 namespace 上生效,存储在 kubernetes API 中的 Secrets 资源。kubernetes 会默认创建,并且会自动挂载到 Pod 中的 /run/secrets/kubernetes.io/serviceaccount 目录下。

Authorization (授权)

RBAC(Role-Based Access Control)

要启用RBAC,请使用--authorization-mode=RBAC启动API Server。

RBAC 是官方才 1.6 版本之后推荐使用的授权方式,因为它比较灵活,而且能够很好地实现资源隔离效果。

这种方法引入了一个重要的概念:Role,翻译成角色。所有的权限都是围绕角色进行的,也就是说角色本身会包含一系列的权限规则,表明某个角色能做哪些事情。比如管理员可以操作所有的资源,某个 namespace 的用户只能修改该 namespace的内容,或者有些角色只允许读取资源。角色和 pods、services 这些资源一样,可以通过 API 创建和删除,因此用户可以非常灵活地根据需求创建角色。

Role与ClusterRole

在RBAC API中,一个角色包含了一套表示一组权限的规则。 权限以纯粹的累加形式累积(没有”否定”的规则)。 角色可以由命名空间(namespace)内的Role对象定义,而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。

一个Role对象只能用于授予对某一单一命名空间中资源的访问权限。 以下示例描述了”default”命名空间中的一个Role对象的定义,用于授予对pod的读访问权限:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # 空字符串""表明使用core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

ClusterRole对象可以授予与Role对象相同的权限,但由于它们属于集群范围对象, 也可以使用它们授予对以下几种资源的访问权限:

  • 集群范围资源(例如节点,即node)
  • 非资源类型endpoint(例如”/healthz”)
  • 跨所有命名空间的命名空间范围资源(例如pod,需要运行命令kubectl get pods --all-namespaces来查询集群中所有的pod)

下面示例中的ClusterRole定义可用于授予用户对某一特定命名空间,或者所有命名空间中的secret(取决于其绑定方式)的读访问权限:


kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  # 鉴于ClusterRole是集群范围对象,所以这里不需要定义"namespace"字段
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

RoleBinding与ClusterRoleBinding

角色绑定将一个角色中定义的各种权限授予一个或者一组用户。 角色绑定包含了一组相关主体(即subject, 包括用户——User、用户组——Group、或者服务账户——Service Account)以及对被授予角色的引用。 在命名空间中可以通过RoleBinding对象授予权限,而集群范围的权限授予则通过ClusterRoleBinding对象完成。

RoleBinding可以引用在同一命名空间内定义的Role对象。 下面示例中定义的RoleBinding对象在”default”命名空间中将”pod-reader”角色授予用户”jane”。 这一授权将允许用户”jane”从”default”命名空间中读取pod。

# 以下角色绑定定义将允许用户"jane"从"default"命名空间中读取pod。
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: jane
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

参考

牛牛Blog
关注
专栏目录
k8s集群Kubernetes仪表板dashboard使用RABC机制限制指定用户针对指定名称空间的资源进行管理实践...
WeiyiGeek 唯一极客IT知识分享
05-16 470
公众号关注「WeiyiGeek」设为「特别关注」,每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:Dashboard-利用rbac机制限制指定用户针对指定名称空间的资源进行UI管理原文地址:https://blog.weiyigeek.top/2021/12-1-583.html(2) Dashboard-利用rbac机制限制指定用户针对指定名称空间...
kubernetes rabc 的sa创建并限制多个namespace
mofiu的博客
07-02 2094
在实际k8s的应用可能会限制用户对namespace的访问,一个账号访问多个namespaces 情况,经过测试后设置如下, 创建一个账号,创建sa后系统会自动创建一个kubernetes.io/service-account-token类型的secret kubectl create serviceaccount updateuser 绑定集群权限,(分别绑定在两个不通的namespaces,绑定哪个namesapce就有哪个namespace相应的权限) kubectl create rolebi
Kubernetes权限管理详解
zou8944的博客
12-03 1909
前面介绍过Kubernetes的结构组成,其API Server用于与外界的交互,我们常用的命令行工具kubectl、UI工具lens、云服务商提供的WebUI,最终都是通过Restfule API的形式,走HTTP协议,到达API Server。此时就带来权限控制问题。 如上图,对来自外部的请求,Api Server会经过三个组件 Authentication:认证,验证用户的合法性,并从提取出用户信息,如用户名、组等 Authorization:鉴权,鉴定该用户是否有权限访问指定资源 Admis
Kubernetes 权限管理
weixin_33923762的博客
09-07 293
2019独角兽企业重金招聘Python工程师标准>>> ...
Kubernetes权限管理
justlpf的专栏
11-02 255
metadata:一个简单的 ServiceAccount 只需要简单的 namespace 和 name 即可。UserGroupGroup,就是一组用户的意思。如果为Kubernetes配置了外部认证服务,这个用户组就由外部认证服务提供。而对于 Kubernetes 内置用户 ServiceAccount 来说,其也有用户和用户组的概念,其,对于一个,在Kubernetessystem:serviceaccount:<ServiceAccount名字>而对于其用户组,在。
(3.1)Kubernetes之RBAC权限管理
allensandy的博客
11-20 271
转自:https://www.orchome.com/1308
Kubernetes的安全与权限管理
AI天才研究院
01-21 1011
1.背景介绍 1. 背景介绍 Kubernetes(K8s)是一个开源的容器编排系统,用于自动化地部署、扩展和管理容器化的应用程序。随着Kubernetes的普及,安全性和权限管理变得越来越重要。本文将深入探讨Kubernetes的安全与权限管理,涵盖核心概念、算法原理、最佳实践、实际应用场景和工具推荐。 2. 核心概念与联系 2.1 Kubernetes的安全与权限管理 Kuberne...
基于vue+springboot+mybatis netty 开发的前后端分离并包含用户聊天、附件管理的RABC权限后台管理系统
05-14
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、...
一个通过Springboot Mybatis Vue Netty Sa-Token 等主流技术开发的的RABC权限后台管理系统
最新发布
05-20
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、...
Kubernetes 安全系列之: RBAC权限错误配置的隐患
SRE进阶之路
02-02 571
我们对K8S集群的一些 Pod 已采取限制,以防止它们访问 API server。 然而,一位安全分析师刚刚报告说 Pod 仍然可以绕过现有的控制并查询 API。 本文将通过重现攻击来验证问题是否存在,并修复错误的配置。
kubernetes 权限管理
测试0901-1
12-17 670
Kubernetes 发展好快,在我写这篇总结的同时,1.9.0版本已经在昨日(2017.12.16)正式发布,而上次在正式环境部署已经是半年前了,我花了点时间将集群升级到了1.8.4版本,其变化最明显的就是权限了,已经可以用上 RBAC 了,而我也在发现报错的时候才意识到需要将以前 k8s 的基础应用也全部加上了权限(当然了,1.6其实就开...
Kubernetes权限管理与控制-RBAC
gulang0309的专栏
03-05 1411
Kubernetes权限管理模式之RBAC模式
Kubernetes权限控制
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
01-10 1015
简介 kubernetes作为一个分布式集群的管理工具,保证集群的安全性是一个重要的任务,API Server是集群内部各个组件通信的介,也是外部控制的入口,所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。 Kubernetes使用了认证(Authentication),鉴权(Autjorization),准入控制(AdmissionControl)三步来保证...
Kubernetes的用户权限管理实战【详细步骤】
marlinlm的博客
12-23 1792
逐步介绍如何为Kubernetes集群进行用户权限管理
kubeportal:认证和用户管理门户Kubernetes
03-18
Kubeportal后端 官方的最终用户documenation是在这里: 快速启动开发人员 克隆存储库。 运行make web-run开始与Kubeportal后端开发服务器。 润make dev-run开始与Kubeportal后端+ Minikube集成开发服务器。后者必须安装。 开发人员模式会自动与名“root”和密码超级用户帐户“的rootpw。” 你可以创建一个.env项目根配置文件。详情请查阅手册: 运行测试 润make test执行测试套件。您可以添加特定的测试文件,铁的相对路径make test case=kubeportal/tests/test_api.py 。 该测试套件假定机器,其用于尝试群集相互作用上的现有Minikube安装。
基于权限控制的Kubernetes容器远程连接方法
weixin_38299404的博客
09-11 1980
Kubernetes websocket 访问集群容器pod远程shell
Kubernetes(K8S) 之 RBAC 权限控制
li1121567428的博客
05-17 460
Kubernetes 权限控制 RBAC 1. Kubernetes的用户 User:通常是人来使用,而ServiceAccount是某个服务/资源/程序使用的User独立在K8S之外,也就是说User是可以作用于全局的,在任何命名空间都可被认知,并且需要在全局唯一 Service Account:而ServiceAccount作为K8S内部的某种资源,是存在于某个命名空间之的,在不同命名空间的同名ServiceAccount被认为是不同的资源。 1.1. 用户验证 尽管K8S认知用户靠的只是用户的名
kubernetes的用户权限认证体系
qq_41642608的博客
02-16 488
kubernetes认证 我们知道任何应用的控制都需要通过一定的认证之后,我们才可以获取到应用的控制权。而此处,我们来了解k8s的认证授权是怎么做。 像一般应用,都是提供一个登陆界面,然后我们输入账号密码,登陆后,系统根据用户所有的权限,让我们进行有限的操作。 但像这种应用,没有登陆界面,我们是怎么来实现。 首先,我们来了解k8s客户端是怎么通过认证来获取k8s集群的控制。 k8s客户端需要通过3...
基于RBAC架构的数据资源权限划分策略
yangqinglei26的博客
02-20 2100
通过定义角色和权限,结合数据过滤和访问控制机制,该策略能够确保只有授权用户才能访问和操作相关数据资源,保障数据的安全性和合规性。用户是系统的使用者,角色是权限的集合,权限是对特定资源的操作许可,资源则是系统的数据或功能。首先,随着企业业务的不断发展和变化,角色和权限的定义可能需要不断调整和优化,以适应新的业务需求和场景。它通过定义角色和权限,简化了权限管理的复杂性,提高了系统的安全性和用户的使用体验。通过以上权限设计,企业可以根据不同的数据使用场景为用户分配合适的角色和权限,确保数据的安全性和合规性。
Kubernetesk8s的安全管理详细说明【role赋权和clusterrole赋权详细配置说明】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-06 4947
文章目录环境准备token验证&&kubeconfig验证授权了解authorization-mode授权模式AlwaysAllow&&AlwaysDenyRBAC模式说明【重要】查看admin权限基本概念原理role测试说明创建一个role排错处理了解sa安装dashboard资源限制 环境准备 首先需要有一套完整的集群 [root@master ~]# kubectl get nodes -o wide NAME STATUS ROLES AGE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值