k8s RBAC 多租户权限控制实现

最新推荐文章于 2024-08-04 15:19:05 发布
最新推荐文章于 2024-08-04 15:19:05 发布
阅读量7.8k 收藏 8
点赞数
分类专栏: kubernetes kubernetes实践 文章标签: kubernetes RBAC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhd930818/article/details/80026150
版权
本文探讨了两种Kubernetes(RBAC)实现多租户权限控制的方案:方案1利用role和roleBinding,方案2则采用clusterRole与roleBinding的组合,其中推荐使用方案2进行集群级别的权限管理。
摘要由CSDN通过智能技术生成
更多kubernetes文章: k8s专栏目录

访问到权限分两部分

1.Authenticating认证
授权配置由kube-apiserver管理

这里使用的是 Static Password File 方式。
apiserver启动yaml里配置basic-auth-file即可,容器启动apiserver的话要注意这个文件需要是在容器内能访问到的。(可以通过挂载文件,或者在已经挂载的路径里增加配置文件)
basic-auth-file文件格式见官方文档 https://kubernetes.io/docs/admin/authentication/#static-password-file 注意password在第一个,之前没注意被卡了很久。
修改了文件以后需要重启apiserver才能生效。这里kubectl delete 删除pod有问题,使用docker命令查看apiserver容器其实没有重启。解决方案是使用docker kill杀掉容器。自动重启。 

[root@tensorflow1 ~]# curl -u admin:admin "https://localhost:6443/api/v1/pods" -k
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "pods is forbidden: User \"system:anonymous\" cannot list pods at the cluster scope",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403
}
这个就是没有通过认证的报错


2.Authorization授权

k8s RBAC授权规则

简单来说就是 权限--角色--用户绑定
需要配置两个文件 
一个是role/clusterRole,定义角色以及其权限
一个是roleBinding/clusterRoleBinding,定义用户和角色的关系 

{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "pods is forbidden: User \"admin\" cannot list pods at the cluster scope",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
最低0.47元/天 解锁文章
sekaiga
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于k8sKubernetes多租户
走向CTO的路上...
03-01 208
Kubernetes 多租户是指在单个 Kubernetes 集群中运行多个租户,每个租户都有自己的资源和权限。它可以帮助您更有效地利用资源,并为不同的团队或项目提供隔离环境。基于 KubernetesKubernetes 多租户是一种有效的方法来提高 Kubernetes 集群的资源利用率,并为不同的团队或项目提供隔离环境。它可以应用于各种场景,并有多种产品可供选择。
k8s基于rbac多租户实现权限管理
ltqb
09-01 531
制作租户访问证书 openssl genrsa -out ethan.key 2048 openssl req -new -key ethan.key -out ethan.csr -subj “/CN=ethan/O=test” openssl x509 -req -in ethan.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out ethan.crt -days 10000
k8s 多租户_k8s使用rbac实现多租户
weixin_36204626的博客
01-15 490
### 制作租户访问证书 ###openssl genrsa -out ethan.key 2048openssl req -new -key ethan.key -out ethan.csr -subj "/CN=ethan/O=test"openssl x509 -req -in ethan.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kube...
k8s RBAC权限控制
最新发布
2401_86274572的博客
08-04 997
使用k8s RBAC权限控制
多租户通用权限设计(基于casbin)
weixin_34071713的博客
02-20 1891
多租户通用权限设计(基于 casbin) 所谓权限控制, 概念并不复杂, 就是确认某个操作是否能做, 本质上仅仅就是个bool判断. 权限几乎是每个系统必不可少的功能, 和具体业务结合之后, 在系统中往往表现的非常复杂和难于控制, 很大部分原因是把权限和具体业务结合的太过紧密, 把业务的复杂度也加入到权限控制中来了. 一直以来, 都有个想法, 想做一套简单好用的通用权限系统, 和任何业务都没有关系...
K8s权限管理
a13568hki的博客
04-29 4246
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
K8S用户权限管理工具permission-manager-v1.6.0
12-13
5. **多租户支持**:对于有多个团队或部门共享的K8S集群,permission-manager可以有效地划分资源访问权限实现多租户环境下的安全隔离。 6. **易用性**:可能包含图形用户界面(GUI)或者命令行接口(CLI),使得...
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S)集群管理中,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S中创建用户账号(User Account)以及如何为其赋予权限...
k8s权限管理
weixin_34228617的博客
05-06 793
2019独角兽企业重金招聘Python工程师标准>>> ...
多租户RBAC研究
04-09
文章内容简介,值得一看,尤其是多租户RBAC的有机结合。
统一身份认证多租户
05-06
统一身份认证多租户
多租户权限
wang2leee的博客
08-25 842
多租户权限是指在一个系统中支持多个租户(Tenant)之间的权限管理,每个租户可以拥有自己独立的用户、角色和权限配置。多租户权限的出现主要是为了满足企业和组织对于安全性和隔离性的需求,使不同租户之间的数据和功能能够相互独立且安全地进行管理和访问。
k8s权限控制RBAC
Peerless__的博客
11-14 1365
kubernetes集群所有的交互都是通过apiServer来进行的,因此k8s权限控制就尤其重要。从1.6版本起,kubernetes默认启用RBAC访问控制策略。RBAC(Role-Based Access Control):基于角色的访问控制RBAC中4种顶级资源:Role、ClusterRole、RoleBinding、ClusterRoleBinding角色,包含一组权限的规则。没有拒绝规则,只是附加运行。Namespace隔离,只作用于命名空间。
K8s 权限管理详解
民工哥的博客
07-01 257
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
java 多租户授权权限_多租户权限,组织架构树
weixin_42134143的博客
03-02 886
组织结构树是设计用来对整个系统中的资源集进行分层排布用的。一个组织结构节点代表的是一个资源子集,组织结构的节点是上不封顶下不封底的,在我们的应用系统内可以认为根节点代表的是“本系统”内的所有资源。但是我们的系统只是外部更大的系统的子节点而已,所以基于扩展性上的考虑,每一个系统内的组织结构树的根节点可以认为是它自己,而根节点的父节点可以认为是void(虚拟节点)从而上不封顶。一个组织结构节点表示的是...
kubernetes多租户权限管理
IForFree
03-21 347
用户授权:" --resource="
多租户和或者多企业角色权限控制
qq_29415357的博客
09-12 1752
多租户和或者多企业角色权限控制多租户数据隔离单租户多企业角色权限控制多租户要不要租户切换这个功能单租户下机构切换的思考 多租户数据隔离 在多租户的模式下,把相同的服务租给多个企业,因为企业独立运营,所以数据要进行隔离,通常有2种方式,一种是独立数据库,另外一种是每个业务表都加上tenantId,通常是全局拦截的。这种模式下角色权限控制交给tenantId去隔离,不用做特别的处理。 单租户多企业角色权限控制 方案一:需要区分控制的业务表模拟多租户加上companyId来控制 方案二:添加user_dep
HDFS多租户下的RBAC访问控制权限策略
本文主要探讨了RBAC(Role-Based Access Control,基于角色的访问控制)在Hadoop Distributed File System (HDFS)多租户实现中的应用,以及如何通过权限管理和租约机制确保安全性。HDFS多租户设计是云计算环境下满足...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值