Kubernetes(K8s)从入门到精通系列之七:K8s的基本概念和术语之安全类

最新推荐文章于 2023-07-30 22:42:19 发布
最新推荐文章于 2023-07-30 22:42:19 发布
阅读量611 收藏 1
点赞数 1
分类专栏: Ansible、Docker、K8S、服务器相关知识总结 文章标签: Kubernetes K8s K8s的基本概念和术语 安全类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengzaifeidelushang/article/details/132012837
版权
本文介绍了Kubernetes中的Service Account,它是Pod应用的特殊账号,与RBAC(Role-Based Access Control)相结合,实现权限控制。Role和ClusterRole定义了权限规则,RoleBinding和ClusterRoleBinding用于用户授权。此外,还提到了NetworkPolicy,用于实现Pod间的网络隔离和安全策略。
摘要由CSDN通过智能技术生成

Kubernetes K8s从入门到精通系列之七:K8s的基本概念和术语之安全类

一、安全类

开发的Pod应用需要通过API Server查询、创建及管理其他相关资源对象,所以这类用户才是K8s的关键用户。K8s设计了Service Account这个特殊的资源对象,代表Pod应用的账号,为Pod提供必要的身份验证。在此基础上,K8s实现和完善了基于角色的访问控制权限系统——RBAC(Role-Based Access Control)。

在默认情况下,K8s在每个命名空间中都会创建一个默认的名称为default的Service Account,因此Service Account是不能全局使用的,只能被所在命名空间中的Pod使用。

通过以下命令可以查看集群中的所有Service Account:

kubectl get sa --all-namespaces

Service Account是通过Secret来保存对应的用户身份凭证的,这些凭证信息有CA根证书数据(ca.crt)和签名后的Token信息(Token)。在Token信息中就包括了对应的Service Account的名称,因此API Server通过接收到的Token信息就能确定Service Account的身份。

在默认情况下,用户创建一个Pod时,Pod会绑定对应命名空间中的default这个Service Account作为其公民身份证。当Pod里的容器被

了解本专栏 订阅专栏 解锁全文
最笨的羊羊
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Kubernetes(K8s)从入门到精通系列之五:K8s基本概念术语之应用类
zhengzaifeidelushang的博客
07-30 699
Kubernetes(K8s)从入门到精通系列之五:K8s基本概念术语之应用类
Kubernetes(K8s)从入门到精通系列之四:K8s基本概念术语之集群类
zhengzaifeidelushang的博客
07-30 704
Kubernetes(K8s)从入门到精通系列之四:K8s基本概念术语之集群类
Kubernetes(k8s)的基础概念
sukapulai的博客
07-10 1554
Kubernetes 是一个可移植、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。 Kubernetes 拥有一个庞大且快速增长的生态,其服务、支持和工具的使用范围相当广泛。Kubernetes 这个名字源于希腊语,意为“舵手”或“飞行员”。k8s 这个缩写是因为 k 和 s 之间有八个字符的关系。 Google 在 2014 年开源了 Kubernetes 项目。 Kubernetes 建立在Google 大规模运行生产工作负载十几年经验的基础上, 结合了社区中最优秀的想法和
Kubernetesk8s)的基本概念
renjian21的博客
08-11 539
一.Kubernetes介绍 1.k8s是什么? _Kubernetes 是一个可移植、可扩展的开源平台,用于 管理容器化工作负载和服务,有助于声明式配置和自动化。它拥有庞大且快速发展的生态系统。Kubernetes 服务、支持和工具随处可见。 ____Kubernetes 的名字来源于希腊语,意思是舵手或飞行员。K8s 作为缩写的结果来自计算“K”和“s”之间的八个字母。Google 于 2014 年开源了 Kubernetes 项目。Kubernetes 结合了 Google 超过 15 年的大规
Kubernetes(K8s)从入门到精通系列之三:K8s基本概念术语之资源对象概述
最新发布
zhengzaifeidelushang的博客
07-30 636
Kubernetes(K8s)从入门到精通系列之三:K8s基本概念术语之资源对象概述
Kubernetes(K8S)超快速入门视频教程
11-05
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 适用人群 零基础以及有一定运维...
Kubernetesk8s)2020版入门笔记和资料(尚).zip
07-28
资料.zip可能包含了丰富的Kubernetes教程、实战案例和官方文档,帮助用户快速掌握k8s基本概念、架构和操作。笔记.zip则可能是个人或专家的学习心得,总结了k8s的关键知识点和常见问题解决办法。 在Kubernetes的...
安装Docker harbor报错:ERROR:root:Error: The protocol is https but attribute ssl_cert is not set
zhengzaifeidelushang的博客
12-06 7372
安装Docker harbor报错:Docker harborERROR:root:Error: The protocol is https but attribute ssl_cert is not set 解决方法: 注释下面这些配置。
K8s下载kube-flannel失败解决方法
zhengzaifeidelushang的博客
01-04 4332
K8s下载kube-flannel失败解决方法 一、K8s下载kube-flannel失败原因 错误如下所示: wget https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml –2020-12-02 13:51:18-- https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.y
Kubernetes(K8s)基本概念:Master、Node、Pod
zhengzaifeidelushang的博客
01-20 2933
Kubernetes基本概念术语一、Master二、Node K8s中的Node、Pod、Replication Controller、Service等都可以看作一种"资源对象",资源对象可以通过K8s提供的kubectl工具执行增、删、改、查等操作并将其保存在etcd中持久化存储。从这个角度来看,K8s是一个高度自动化的资源控制系统,通过跟踪对比etcd库里保存的"资源期望状态"与当前环境中的"实际资源状态"的差异来实现自动控制和自动纠错的高级功能。 一、Master Master节点负责集群的管理与控
Docker修改国内镜像源,同时搭建本地私有镜像仓库,配置其他docker服务器从私有镜像仓库拉取镜像,实现删除私有镜像仓库镜像
zhengzaifeidelushang的博客
07-06 2683
仓库是集中存放镜像的地方,分为公告仓库和私有仓库。 注册服务器(Registry)是存放仓库的具体服务器,一个注册服务器上可以有多个仓库,而每个仓库下面可以有多个镜像。仓库可以被认为是一个具体的项目或目录。例如对于仓库地址private-docker.com/ubuntu来说,private-docker.com是注册服务器地址,ubuntu是仓库名。
ansible系列之:Failed to connect to the host via ssh: Ncat: Proxy returned status code 503.
zhengzaifeidelushang的博客
03-10 2647
ansible系列之:Failed to connect to the host via ssh: Ncat: Proxy returned status code 503.一、错误场景二、产生错误的原因三、解决方法 一、错误场景 ansible往200+服务器集群推送配置,出现如下错误: UNREACHABLE! => {“changed”: false, “msg”: “Failed to connect to the host via ssh: Ncat: Proxy returned sta
K8s系列之:Node IP、Pod IP、Cluster IP和服务发现机制
zhengzaifeidelushang的博客
01-16 2340
K8s系列之:Node IP、Pod IP、Cluster IP和服务发现机制一、外部系统访问Service问题1.Node IP2.Pod IP3.Cluster IP4.负载均衡问题 K8s通过Add-On增值包的方式引入了DNS系统,把服务名作为DNS域名,这样一来程序就可以直接使用服务名来建立通信连接了。 一、外部系统访问Service问题 Node IP:Node节点的IP地址 Pod IP:Pod的IP地址 Cluster IP:Service的IP地址 1.Node IP Node IP
ansible模块:获取文件信息stat模块、注册变量register模块、下载get_url模块和条件判断when模块的使用方法
zhengzaifeidelushang的博客
12-15 2139
ansible模块:获取文件信息stat模块、注册变量register模块、下载get_url模块和条件判断when模块的使用方法一、stat模块、register模块、get_url模块和when模块功能二、stat模块、register模块、get_url模块和when模块使用示例三、详细解释使用示例 一、stat模块、register模块、get_url模块和when模块功能 stat:获取文件的详细信息 get_url:将指定文件下载到指定目录 register:用于把执行了命令后的结果
Ansible模块:systemd模块实现自动重启flume服务
zhengzaifeidelushang的博客
12-30 1971
Ansible模块:systemd模块实现自动重启flume服务一、systemd模块参数详解二、systemd模块用法三、systemd模块实现自动重启flume服务1.编写flume服务的systemd脚本2.通过ansible模块template部署flume服务的systemd脚本3.通过ansible模块systemd重启flume四、systemd脚本命令详解 一、systemd模块参数详解 systemd模块: 管理远程节点上的systemd服务,相当于systemctl,可以对服务的是否开
ip:16和ip:32的区别
zhengzaifeidelushang的博客
07-28 1840
ip:16和ip:32的区别一、数据库设置具体IP和网段访问权限如下所示二、计算ip:16和ip:32的区别 16、32都是子网掩码 32指特定一个主机IP 16指的是一个网段 一、数据库设置具体IP和网段访问权限如下所示 # IPv4 local connections: #具体ip设置如下 host all all 10.128.128.101/32 trust #网段设置如下 host. all all
K8s系列之:命名空间Namespace
zhengzaifeidelushang的博客
01-17 1717
K8s系列之:命名空间Namespace Namespace在很多情况下用于实现多租户的资源隔离。Namespace通过将集群内部的资源对象分配到不同的Namespace中,形成逻辑上分组的不同项目、小组或用户组,便于不同的分组在共享使用整个集群的资源的同时还能被分别管理。 K8s集群在启动后,会创建一个名为"default"的Namespace,通过kubectl可以查看到: kubectl get namespaces NAME LABELS STATUS default
K8s系列之:Pod容器共享Volume
zhengzaifeidelushang的博客
01-23 1551
K8s系列之:Pod容器共享Volume 在同一个Pod中的多个容器能够共享Pod级别的存储卷Volume。 Volume可以被定义为各种类型,多个容器各自进行挂载操作,将一个Volume挂载为容器内部需要的目录。 Pod内包含两个容器: tomcat busybox 在Pod级别设置Volume “app-logs”,用于tomcat向其中写日志文件,busybox读日志文件。 配置文件pod-vvolume-applogs.yaml的内容如下: apiVersion: v1 kind: Pod m
Kubernetes深度解析:从入门到精通
"kubernetes.pdf" 是一份关于..."kubernetes.pdf" 是一个全面的Kubernetes学习资料,从基础到高级,覆盖了Kubernetes的所有关键概念和操作,对于想要深入了解和使用Kubernetes的人来说,是一份宝贵的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

最笨的羊羊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值