kubernetes RBAC授权配置

最新推荐文章于 2024-03-29 12:49:27 发布
最新推荐文章于 2024-03-29 12:49:27 发布
阅读量480 收藏
点赞数
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zorsea/article/details/105028428
版权

一、RBAC授权流程图:

角色分类有两种:
Role:普通角色,可以应用于某一个命名空间,使用的是RoleBinding与User、Group、serviceaccount进行角色绑定
ClusterRole:集群角色,应用于整个集群,所有命名空间,使用的是ClusterRoleBinding与User、Group、serviceaccount进行集群角色绑定

主体:
User:根据ssl证书CN字段上配置的
Group:根据ssl证书O字段上配置的
serviceaccount:应用于服务配置的,根据serviceAccountName进行应用到yaml文件中

操作(verbs)
get、list、watch、create、delete、deletecollection、patch、update
查询权限:get、list、watch
修改权限:create、delete、deletecollection、patch、update

二、用户与角色绑定实例

2.1、创建证书文件
k8s的User是从CN上配置的。 组是从O上配置的。这个用户或者组用于后面的角色绑定使用,下图创建了User为ahi,Group为system:k8s-user

cat  > ahi-csr.json  << EOF
{
  "CN": "ahi",   ##k8s user
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing",
      "O": "system:k8s-user",  ##k8s group
      "OU": "System"
    }
  ]
}

EOF

2.2、生成证书文件
cfssl gencert -ca=/opt/kubernetes/ssl/ca.pem -ca-key=/opt/kubernetes/ssl/ca-key.pem -config=/root/k8s/install/ssl/ca/ca-config.json -profile=kubernetes ahi-csr.json | cfssljson -bare ahi

2.3、配置ahi用户的kubectl
配置apiserver地址:
kubectl config set-cluster kubernetes --certificate-authority=/home/ahi/.kube/keys/ca.pem --server=https://172.21.0.7:6443
设置客户端认证参数:
kubectl config set-credentials ahi --client-certificate=/home/ahi/.kube/keys/ahi.pem --client-key=/home/ahi/.kube/keys/ahi-key.pem
设置上下文参数:
kubectl config set-context kubernetes --cluster=kubernetes --user=ahi
设置莫认上下文:
kubectl config use-context kubernetes

2.4、授权ahi用户只能访问default命名空间的pod、services

---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default           ## 授权于default命名空间
  name: user-ahi-auth
rules:
- apiGroups: [""]

  resources: ["pods","services"]        ##  授权pods、services可访问

  verbs: ["get","list","watch"]      ## 只有查询的操作

---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: user-ahi-auth-bind
  namespace: default               ## 授权于default命名空间
subjects:
- kind: User
  name: ahi               ## ahi用户
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: user-ahi-auth        ## Role角色
  apiGroup: rbac.authorization.k8s.io

2.5、经过授权后的用户访问其它资源的报错信息

相关地址链接:
https://www.kubernetes.org.cn/4062.html
https://studygolang.com/articles/11730?fr=sidebar

ahisky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes学习之RBAC
Micky_Yang的博客
09-17 306
一、访问控制概述   API Server作为Kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,余下所有需要访问集群资源的组件,包括kube-controller-manager、kube-scheduler、kubelet和kube-proxy等集群基础组件、CoreDNS等集群的附加组件以及此前使用的kubelet命令等都要经由网关进行集群访问和管理。这些客户端均要经由API Server访问或改变集群状态并完成数据存储,并由它对每一次的访问请求进行合法性校验,包括用户身份鉴别、操作权
rbac.dev:Kubernetes RBAC的良好实践和工具的集合
05-10
通过Containerum 在RBAC中使用Kubernetes配置权限StefanBüringer通过开放策略代理授权KubernetesKubernetes中像老板一样配置RBAC,作者EmreSavcı Eviatar Gerzi消除风险性RBAC许可,从而保护Kubernetes集群利用
Kubernetes集群安全机制(RBAC)
bright的博客
03-09 288
Kubernetes api-server 安全访问机制kube-apiserver 是 k8s 整个集群的入口,是一个 REST API 服务,提供的 API 实现了 Kubernetes 各类资源对象(如 Pod,RC,Service 等)的增、删、改、查,API Server 也是集群内各个功能模块之间交互和通信的枢纽,是整个集群的总线和数据中心。由此可见 API Server 的重要性了,...
Kubernetes RBAC 详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
03-24 2252
原文链接:Kubernetes RBAC 详解 前面两节课我们学习了Kubernetes中的两个用于配置信息的重要资源对象:ConfigMap和Secret,其实到这里我们基本上学习的内容已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前,我们还需要给大家讲解一个重要的概念:RBAC - 基于角色的访问控制。 RBAC使用rba...
kubernetes系列】KubernetesRBAC
margu_168的博客
07-11 1175
k8s的权限控制在实际工作中不那么经常使用,但是却是很重要的,我们需要深入理解才能很好的解决某些问题。在我们现目前的了解中,常用的授权插件有以下几种: Node(节点认证) ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) Webhook(基于http回调机制的访问控制)kubernetes 集群相关所有的交互都需要通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,Kubernetes授权是基于插件形式的,在1.5版的时候引入了基于角色的访问控制(Role-Bas
Kubernetes RBAC管理
dahulihuli的博客
10-20 457
ServiceAccount为pod中的进程和外部用户提供身份信息。所有的kubernetes集群账户分为两类,kubernetes管理的serviceaccount和useraccount。apiserver时集群的入口,对于上两者肯定时不能随便访问的,所有我们必须有一些认证信息,当他们联系apiserver的时候,他们会被认证为一个特定的ServiceAccount当你在创建pod时如果没有指定sa,系统会给你自动默认使用default下的serviceaccount。
Kubernetes(k8s)权限管理RBAC详解
ss810540895的博客
02-09 1475
kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。启用RBAC,需要在 apiserver 中添加参数–authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6+版本都默认开启了RBAC。AlwaysDeny:表示拒绝所有请求,一般用于测试。:允许接收所有请求。
rbac-tool:Kubernetes RBAC Power Toys - 可视化、生成和查询
05-30
RBAC 授权使用rbac.authorization.k8s.io API 组来驱动授权决策,允许您通过 Kubernetes API 动态配置策略。 权限纯粹是附加的(没有“拒绝”规则)。 角色总是在特定的命名空间内设置权限; 创建角色时,必须...
rbac-manager:一个Kubernetes运算符,可简化角色绑定和服务帐户的管理
02-03
RBAC Manager旨在简化Kubernetes中的授权。 这是一个支持使用新的自定义资源为RBAC进行声明式配置的运算符。 您可以指定所需的状态,而不是直接管理角色绑定或服务帐户,并且RBAC Manager将进行必要的更改以实现该...
guard::key:Kubernetes身份验证和授权WebHook服务器
04-28
Guard还可以适当配置经过身份验证的用户组。 这使群集管理员可以根据组中的成员身份设置RBAC规则。 Guard支持以下身份验证提供程序:GitLab 支持的版本Kubernetes 1.9以上 安装要安装Guard,请按照此处的指南进行...
Getting Started with Kubernetes
最新发布
05-19
2. **授权(Authorization)**:通过 Role-Based Access Control (RBAC) 确保用户只能访问其被授予的资源和操作。 3. **加密通信**:所有 API 通信都应使用 TLS 加密,确保数据安全。 **总结** "Getting Started ...
k8s基础11——安全控制之RBAC用户授权RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1774
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权
kubernetes(k8s)之rbac权限管理详解
qq_44823950的博客
08-14 2196
kubernetes(k8s)之rabc权限
Kubernetes运维篇】RBAC认证授权详解(一)
热门推荐
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限,RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
RBAC配置
yw_2022的博客
01-12 261
RBAC配置
Kubernetes集群中RBAC简介
tyxjolin的专栏
03-29 1029
Kubernetes中,RBAC 是一种标准的权限控制机制,允许管理员通过角色来限制特定用户或用户组对集群资源的访问权限。RBAC主要使用四个Kubernetes API资源来定义和实施权限:Role您可以使用YAML文件来定义角色的权限。kind: Rolemetadata:rules:以上定义了一个名为pod-reader的角色,它可以在默认命名空间中获取(get)、观察(watch)并列出(list)Pods。接下来,使用YAML文件来定义角色绑定。
kubernetes系列之《k8s基于RBAC授权
西西工作室
04-02 994
一、RBAC介绍 基于角色的访问控制(Role-Based Access Control,即“RBAC”)使用“rbac.authorization.k8s.io” Apo Group实现授权决策,允许管理员通过Kubernetes Api动态配置策略。 要启用RBAC,请使用 --authorization-mode=RBAC启动API Server。 在RABC API中,通过如下的步骤进行授...
Kubernetes(k8s)权限管理RBAC
驰兔的博客
03-13 959
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
Kubernetes RBAC:角色与权限控制的基石
开发者可以利用插件机制扩展Kubernetes的功能,但在此之前,必须掌握如何通过RBAC系统设计和配置角色,以实现细粒度的权限控制。 为了实现自定义编排对象和控制器,开发者需要通过外部插件与Kubernetes交互,并且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值