Kubernetes权限管理详解

最新推荐文章于 2024-07-01 10:37:51 发布
最新推荐文章于 2024-07-01 10:37:51 发布
阅读量1.8k 收藏 3
点赞数 1
分类专栏: 运维 文章标签: kubernetes 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zou8944/article/details/121702934
版权

前面介绍过Kubernetes的结构组成,其中API Server用于与外界的交互,我们常用的命令行工具kubectl、UI工具lens、云服务商提供的WebUI,最终都是通过Restfule API的形式,走HTTP协议,到达API Server。此时就带来权限控制问题。

image-20211203153658776

如上图,对来自外部的请求,Api Server会经过三个组件

  • Authentication:认证,验证用户的合法性,并从中提取出用户信息,如用户名、组等
  • Authorization:鉴权,鉴定该用户是否有权限访问指定资源
  • Admission:准入,它可以修改或拒绝请求

认证

与用户相关的概念,有用户、组、ServiceAccount,但只有ServiceAccount才在Kubernetes中以资源的形式存在,用户、组并不会以资源的形式存在,它们只是一个字符串,在使用的地方如RoleBinding时被引用,理解这一点很重要。

从集群内部,即pod中访问API Server时,需要ServiceAccount来标识身份;从集群外部访问API Server时,则需要走外部验证,包括:客户端证书、密码、普通令牌、引导令牌。

ServiceAccount

每个命名空间都会有一个默认的ServiceAccount。一个典型的ServiceAccount如下

gd % kubectl --kubeconfig ~/.kube/config-test get sa -o yaml
apiVersion: v1
items:
- apiVersion: v1
  imagePullSecrets:
  - name: acr-credential-560b66540f01e51c18524b09ad7f575f
  - name: acr-credential-6731ef77d88edc24b279ebf20860f30f
  - name: acr-credential-5dee66918cdf5d93de4aa5cd90247f73
  - name: acr-credential-be55512166dd26eda658d0706de5a06a
  - name: acr-credential-bab42ef118a2913b05cd8cdb95441d70
  kind: ServiceAccount
  metadata:
    creationTimestamp: "2020-11-10T06:48:55Z"
    name: default
    namespace: default
    resourceVersion: "100598603"
    selfLink: /api/v1/namespaces/default/serviceaccounts/default
    uid: 4ef6a2d3-19ad-47cf-a2de-135f2c9d86b5
  secrets:
  - name: default-token-vrqk9
kind: List
metadata:
  resourceVersion: ""
  selfLink: ""

可以看到它其实包含两部分:secrets、imagePullSecrets,其中,前者会被挂载到pod的容器内,用于在访问API Server时提供信息;后者则用于pod从私有仓库拉取镜像时使用的秘钥。也就是说,ServiceAccount的作用也就是这两部分了。本文重点关注secrets部分。

当一个pod创建时,它会默认拥有该ServiceAccount,这一点可以通过查看一个已经存在的pod得以验证

gd % kubectl --kubeconfig ~/.kube/config-test get pod app-bosslist-backend-67c59b8d94-k75kj -o yaml | grep service
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
  serviceAccount: default
  serviceAccountName: default

而该token包含两部分信息:服务端证书、token值的BASE64编码。

g % kubectl --kubeconfig ~/.kube/config-test get secret default-token-vrqk9 -o yaml
apiVersion: v1
data:
  ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURHakNDQWdLZ0F3SUJBZ0lCQURBTkJna3Foa2lHOXcwQkFRc0ZBREErTVNjd0ZBWURWUVFLRXcxaGJHbGkKWVdKaElHTnNiM1ZrTUE4R0ExVUVDaE1JYUdGdVozcG9iM1V4RXpBUkJnTlZCxxxxx
  namespace: ZGVmYXVsdA==
  token: ZXlKaGJHY2lPaUpTVXpJMU5pSXNJbXRwWkNJNklteEthMkpUUm1GbFVFZFlWRmhsUTBKcE1VTjJkbmd6TVZCRWVtSjNkSFZHUVVWU1RFWXhjak5DTlhjaWZRLmV5SnBjM01pT2lKcmRXSmxjbTVsZEdWekwzTmxjblpwWTJWaFxxxxx
kind: Secret
metadata:
  annotations:
    kubernetes.io/service-account.name: default
    kubernetes.io/service-account.uid: 4ef6a2d3-19ad-47cf-a2de-135f2c9d86b5
  creationTimestamp: "2020-11-10T06:48:55Z"
  name: default-token-vrqk9
  namespace: default
  resourceVersion: "38744013"
  selfLink: /api/v1/namespaces/default/secrets/default-token-vrqk9
  uid: 64ee0b11-9919-47b1-97e9-e055f47f3732
type: kubernetes.io/service-account-token

token值是JWT,解码结果如下

{
最低0.47元/天 解锁文章
zou8944
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes中的证书工作机制详解
11-29
了解 Kubernetes 中的证书工作机制对于集群管理员来说至关重要,因为正确配置和管理证书能够保护集群免受未授权访问,确保服务的正常运行和数据的安全。为了深入了解,可以参考提供的链接或其他相关文档,进一步学习...
k8s权限控制RBAC
Peerless__的博客
11-14 1339
kubernetes集群所有的交互都是通过apiServer来进行的,因此k8s对权限的控制就尤其重要。从1.6版本起,kubernetes默认启用RBAC访问控制策略。RBAC(Role-Based Access Control):基于角色的访问控制RBAC中4种顶级资源:Role、ClusterRole、RoleBinding、ClusterRoleBinding角色,包含一组权限的规则。没有拒绝规则,只是附加运行。Namespace隔离,只作用于命名空间。
Kubernetes权限管理
justlpf的专栏
11-02 226
metadata:一个简单的 ServiceAccount 只需要简单的 namespace 和 name 即可。UserGroupGroup,就是一组用户的意思。如果为Kubernetes配置了外部认证服务,这个用户组就由外部认证服务提供。而对于 Kubernetes 内置用户 ServiceAccount 来说,其也有用户和用户组的概念,其中,对于一个,在Kubernetessystem:serviceaccount:<ServiceAccount名字>而对于其用户组,在。
K8s 权限管理详解
最新发布
民工哥的博客
07-01 208
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
Kubernetes详解(五十)——Kubernetes权限配置
永远是少年
05-09 1624
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。
kubernetes--RBAC权限管理
m0_57911290的博客
01-15 9112
calico/coredns/dashboard >>都需要访问apiserver简称SA,是一种用于让程序访问K8sAPI的服务账号1.当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限2.当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。
【错误解决】kubectl权限不够,报错:User “kubernetes“ cannot create resource “clusterrolebindings“ in API group “rb
weixin_42072280的博客
03-11 8274
错误: kubectl --server=https://192.168.56.169:6443 create clusterrolebinding kubernetes --clusterrole=cluster-admin --user=kubernetes 报错信息: error: failed to create clusterrolebinding: clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "kubern
Kubernetes指南(Kubernetes Handbook)
03-19
- **RBAC (Role-Based Access Control)**: 实现细粒度的权限管理。 - **准入控制**: 通过自定义控制器对资源进行验证和修改。 - **Scheduler 扩展**: 自定义调度策略。 - **网络插件**: 如 CNI (Container Network ...
Kubernetes管理OpenStack服务.docx
10-11
- **权限管理**:使用Kubernetes ServiceAccounts提供细粒度的API访问权限。 - **OpenStack API访问**:不同SDN可能有不同的访问方式,需要提供API SSL证书,通常通过Secrets进行安装。 - **hostNetworking使用**...
Kubernetes管理OpenStack服务.pdf
11-28
- `ServiceAccounts` 提供对 Kubernetes API 的访问权限,可能需要为 OpenStack API 访问配置相应的权限。 - 为了初始化时避免依赖 Kuryr 来获取 IP,kuryr-controller 应与 `hostNetwork` 模式一起运行。 - `Config...
kubernetes.pdf
09-23
- **授权**:控制用户和进程对资源的操作权限。 - **审计**:记录 API 调用的日志,以便于安全审计。 - **网络隔离**:使用 NetworkPolicy 控制 Pod 间的网络流量。 - **秘密管理**:使用 Secret 对象安全地存储敏感...
关于k8s中工作节点无法执行kubectl命令的解决办法
weixin_66574826的博客
08-17 1777
我想在node02执行kubectl命令但是报了The connection to the server localhost:8080 was refused - did you specify the right host or port?经过排查,发现是node02节点没有权限,那我就赋予node02权限。首先在master执行以下命令。填yes,注意是yes,不是y。接下来在node02节点操作。输入node02的密码即可。接下来传输第二个文件。...
Kubernetes权限管理与控制-RBAC
gulang0309的专栏
03-05 1319
Kubernetes权限管理模式之RBAC模式
kubernetes用户权限管理详解——普通用户[kubeconfig]
weixin_42236288的博客
04-01 1097
通过多种方式签发证书包括 k8s csr, openssl,cfssl的方式进行签发,由于创建k8s普通用户,从而实现管理k8s权限管理
kubectl权限创建和控制
mao2553319的博客
12-13 1676
kubectl权限控制
Kubernetes — RBAC权限控制
qq_41619571的博客
10-16 766
1. 在Kubernetes中,负责完成授权(Authorization)工作的机制,就是RBAC:基于角色的访问控制(Role-Based Access Control)2. “主体”(subject)能够或不能够“操作”(operate)哪个或哪类“对象”(object)。动作的发出者是subject,通常是(User Account),也可以是(Service Account)。“操作”(operate)用于表明执行的具体操作,
Kubernetes 安全权限管理深度剖析
liuzhen007的专栏
04-15 1427
Kubernetes 作为当下应用最普遍的容器集群管理工具,详细了解它的认证鉴权机制是非常有必要的。本文的主要内容就是增进大家对k8s的认证和鉴权模块的了解,其中包括kubernetes准入控制及RBAC的集群认证与鉴权机制。
K8s之权限管理
a13568hki的博客
04-29 4243
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
基于权限控制的Kubernetes容器远程连接方法
weixin_38299404的博客
09-11 1914
Kubernetes websocket 访问集群容器pod远程shell
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值