kubernets-RBAC

最新推荐文章于 2024-03-29 16:10:19 发布
最新推荐文章于 2024-03-29 16:10:19 发布
阅读量371 收藏
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxpaomian/article/details/111325386
版权
RBAC
  • Role:角色,它其实是一组规则,定义了一组对 Kubernetes API 对象的操作权限, 但Role只对指定的namespace下的资源生效
  • ClusterRole: 集群橘色,同样也是一组规则,定义了一组对 Kubernetes API 对象的操作权限, ClusterRole 可以对所有namespace下的资源生效
  • Subject:被作用者,既可以是“人”,也可以是“机器”,也可以是你在 Kubernetes 里定义的“用户”。
  • RoleBinding:定义了“被作用者”和“角色”的绑定关系
Role

一个权限角色,针对某种资源的权限限制

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: mynamespace
  name: example-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

如上面的yml 例子,翻译下来就是允许Subject,对mynamespace下面的Pod对象,进行 GET、WATCH 和 LIST 操作

RoleBinding

权限角色和subject 的绑定,subject 大多数都是user,当然还有其他

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-rolebinding
  namespace: mynamespace
subjects:
- kind: User
  name: example-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: example-role
  apiGroup: rbac.authorization.k8s.io
Subject

subject是被操作的对象,如果没有K8S 外部鉴权的情况下,一般用Kubernetes的内置用户管理,即ServiceAccount 就够了

apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: mynamespace
  name: example-sa

基本概念就是如上,拿个flannel的配置做个具体的例子:

# serviceAccount, 创建一个flannel的subject
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: flannel
  namespace: kube-system
---
# clusterRole, 创建一个针对podsecuritypolicies,pod,nodes的权限规则,由于涉及到node,所有不可能在单独的namespace下生效,所以使用role,需要是clusterRole,
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: flannel
rules:
- apiGroups: ['extensions']
  resources: ['podsecuritypolicies']
  verbs: ['use']
  resourceNames: ['psp.flannel.unprivileged']
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - nodes/status
  verbs:
  - patch
---

# ClusterRoleBinding, 将之前的clusterRole 和subject(serviceAccount) 绑定起来
---yaml
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: flannel
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: flannel
subjects:
- kind: ServiceAccount
  name: flannel
  namespace: kube-system
---

在创建好flannel的rbac 之后,在看下flannel对应的daemonset的yml:

# 在spec/template/spec 下,使用的是serviceAccountName,即该POD,使用的是serviceAccount-flannel 所绑定的ClusterRole: flannel 的所有权限
    ...
      serviceAccountName: flannel
      initContainers:
      - name: install-cni
    ...

然后看下实际的POD 运行的yaml

[root@dev001 ~]# kubectl get pod kube-flannel-ds-wkqvm -n kube-system -o yaml | grep secret -A 2
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: flannel-token-jvvrj
      readOnly: true
--
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: flannel-token-jvvrj
      readOnly: true
--
    secret:
      defaultMode: 420
      secretName: flannel-token-jvvrj

在实际运行的POD 里,发现在pod 内部有对应serviceAccount的挂载点,以及secret

# 登录pod 看下flannel的的serviceAccount下的内容
[root@dev001 ~]# kubectl exec -it kube-flannel-ds-wkqvm -n kube-system bash 
bash-5.0# ls /var/run/secrets/kubernetes.io/serviceaccount
ca.crt     namespace  token
bash-5.0# cat /var/run/secrets/kubernetes.io/serviceaccount/namespace
kube-system
bash-5.0# cat /var/run/secrets/kubernetes.io/serviceaccount/token
eyJhbGciOiJSUzI1NiIsImtpZCI6InctSGw3MnYzWHVMVEtxbVZiZTZJYnlBU0w3bUc5TU5rb0FQX0U0aVFERTQifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJmbGFubmVsLXRva2VuLWp2dnJqIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6ImZsYW5uZWwiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJjN2UwNzI2NC1kMDI3LTQ0ZmItOWZjNS1lMTNjODBmNGYzMWEiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6a3ViZS1zeXN0ZW06Zmxhbm5lbCJ9.pkLd2BDWoVvWis8aHbSeZsKojA8f3nEkpHWmZUaQyezt_ERdWmdVUmxgOyzMBDT26tWPwAn6zaJWk1haoVwi-WzvT-SRvPqOAVt4jT6YxhmEuDqbLOCgHSQIhpCKnHBo65lPHHgr31piSfFl797IUkH7az8V8GKavBUNT4633akkfc7xbJIEIiGg6Q88rA-j-Ee4JJkiXek1vC_jX6OTZJGNf7fD44ahrkkQoQ8kNQeSgRgQC66AXOit0m-s_y7cLGp3lylZWUPzuqTj7USt1dzyUWfLlJjHja8FJvIKt66vSHNiE8FWLsKXTX9QRZEjKRwbPEGKTnLcxPf3M1_Z_gbash-5.0# 
bash-5.0# cat /var/run/secrets/kubernetes.io/serviceaccount/ca.crt
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

再看下etcd里的信息.

ETCDCTL_API=3 etcdctl --cacert=/etc/kubernetes/pki/etcd/ca.crt --cert=/etc/kubernetes/pki/etcd/peer.crt --key=/etc/kubernetes/pki/etcd/peer.key get /registry/secrets/kube-system/flannel-token-jvvrj
...
flannel-token-jvvrj 
                   kube-system"*$a12ec09f-7498-4ee9-859f-614b1154b53f2º­켐b-
"kubernetes.io/service-account.nameflannelbI
!kubernetes.io/service-account.uid$c7e07264-d027-44fb-9fc5-e13c80f4f31az 
ca.cr-----BEGIN CERTIFICATE-----
MIICyDCCAbCgAwIBAgIBADANBgkqhkiG9w0BAQsFADAVMRMwEQYDVQQDEwprdWJl
cm5ldGVzMB4XDTIwMTIxNzAzNTM0NloXDTMwMTIxNTAzNTM0NlowFTETMBEGA1UE
AxMKa3ViZXJuZXRlczCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKPZ
KuDGVFQ1l7l1lnBSpo5FnFw+44Bpwkq9OT34djaR+Uc7HW+V4NSCuU8IcyT7oRZn
U4Cy6I1ggI4GRAmpswchKMKBbLNutAbDgfT93eytGNmms+h5QmAsIf+Aw/WqtzHf
/hHSH88kl0lDnDyg9ptnRSyYcWjGrwTMzQoTVOB0L1EU3iimHNl12rDDRu9Wcn+p
/NtObf0ksNRelqGyahi09cYHoVrk3CnyDJGD1fKk/RE3Hc9qKr/I5/S7kTWJN4xN
+qhi9h+D45aitqL1qkE1/UX9jR/blUTUbtSWLfubswd0UfxmZksqRqZILpukMwfX
GT2FYAoayu6vkCz1BcECAwEAAaMjMCEwDgYDVR0PAQH/BAQDAgKkMA8GA1UdEwEB
/wQFMAMBAf8wDQYJKoZIhvcNAQELBQADggEBAABdWSTxdr/4A0CB/N84wbqckbOv
Sou8YiY/Al94eUClqNPPtDVfGS09pHJb29nSY4GbHzBKZSOEyvhSU10Pq+2KE9ze
icxZ4F8pMpXqSLjrRWIoUic4CMLe3hqFrv9rAof0t94hds/nf+ZKgf/sT7QHK3kD
FGpp4XiLKIwattB6aCugHj/AZF7xiVy3K9iZao/bOtmotAYA1K+ybIfE7wNmSGxI
31o8InN9AGt62lFgJ1AL98qmp02Xr5e/KlowQ/koHy8jIDmdTN3fmoM34ARQBTjz
pMCZELRs/Fg8Y9NoXHjtRGyQ1IApZu9DuRL2/DoyTV3Oa9P2E6WHDBmvHMs=
-----END CERTIFICATE-----
...

kubernetes 的基本通信都是通过API Server进行的,而在调用过程中,会需要在header里加上token 和 https的ca证书,比如下面的简单调用:

curl -s $APISERVER/api/v1/namespaces/default/pods/ --header "Authorization: Bearer $TOKEN" --cacert /tmp/ca.crt | jq -rM '.items[].metadata.name'

所有,根据上面的结果可以看到RBAC的基本调用逻辑:
在这里插入图片描述

  • Pod 的yml内会指定serviceAccount
  • Pod在创建过程中会创建该pod的ca.crt 用于和ApiServer 通信,同时也会创建一个token,存放在etcd 中,key就是secret字段的名字
  • Pod通过该ca.crt 和ApiServer通信,使用token 进行权限认证
  • ApiServer通过token 从etcd 里获取到对应serviceAccount的Role/ClusterRole
  • 然后根据Token 查询到的权限,限制该ServiceAccount的资源对象的使用。
个人公众号, 分享一些日常开发,运维工作中的日常以及一些学习感悟,欢迎大家互相学习,交流

在这里插入图片描述

钟大發
关注
专栏目录
Kubernetes------Dashboard部署
MQ107的博客
10-15 440
文章目录Dashboard部署 Dashboard部署 创建dashboard工作目录,并上传五个文件 [root@master1 ~]# mkdir dashboard [root@master1 ~]# cd dashboard/ [root@master1 ~/dashboard]# ls dashboard-configmap.yaml dashboard-controller.yaml dashboard-rbac.yaml dashboard-secret.yaml dashboard-
kubernetes-RBAC 鉴权
investor_的博客
03-21 1009
鉴权:鉴别权限 --》识别出某个主体(用户、组、服务账户)具有什么权限 ---》鉴定
kubernetes-RBAC介绍
hszxd479946的博客
09-20 412
一、概述 RBAC: Role-Based Access Control,基于角色的权限控制。 从kubernetes1.6版本起,RBAC成为kubernetes默认的访问控制策略。 RBAC主要包含以下概念: Role:角色,角色定义了一组权限的集合,例如只读权限,读写权限 Subject:主体,主体是角色,可以是用户,也可以是ServiceAccount,在实际使用中,主体通常是ServiceAccount。 RoleBinding:定义了角色和主体之间的绑定关系。 关系图: .
11-kubernetes-RBAC
Neko的博客
03-25 286
<文章感谢 xingdian> 文章目录kubernetes-RBAC一:RBAC详解RBAC基于角色的访问控制在RBAC API中,通过如下的步骤进行授权启用RBACRole与ClusterRoleRoleClusterRoleRole示例ClusterRole示例RoleBinding与ClusterRoleBindingRoleBindingClusterRoleBindingRoleBinding示例role对资源的引用resourceNames角色定义的例子对角色绑定主体(Subj
k8s——Kubernetes-RBAC基于角色的访问控制
weixin_55985097的博客
07-27 951
kubernetes-RBAC 一:RBAC详解 RBAC基于角色的访问控制 Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权,在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版起,Kubernetes 默认启用RBAC访问控制策略。 从1.8开始,RBAC
Kubernetes 1.27.4 Kubernetes-Dashboard 安装
深入一点你会更加快乐
08-12 1524
经过测试,清华大学镜像下载速度稳定快速,可供国内用户便捷使用。首先我们需要配置清华大学的EPEL安装源。注意:Chrome如果提示不安全连接,并且高级选项也无法进入, 在页面空白处键入 thisisunsafe 即可。实验环境使用 kubernetes v1.27.4 Centos8 && Centos7。查看服务是否正常运行,以及自动选择的nodeport端口。修改文件,增加nodeport参数便于访问。
kubernetes--RBAC权限管理
m0_57911290的博客
01-15 9172
calico/coredns/dashboard >>都需要访问apiserver简称SA,是一种用于让程序访问K8sAPI的服务账号1.当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限2.当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。
kubernetes-dashboard 安装配置
最新发布
张震--golang
03-29 803
kubernetes-dashboard 安装配置
k8s 创建 kubernetes-dashboard
u012711937的博客
09-01 196
k8s kubernetes-dashboard
k8s集成kubernetes-dashboard可视化界面
crazy1013的博客
08-28 588
k8s可视化控制台
kubernetes-server-linux-amd64.tar.gz
08-28
10. **安全配置**:确保所有组件都使用安全的配置,如启用TLS通信,限制API访问,以及使用RBAC(Role-Based Access Control)进行权限管理。 通过以上步骤,你就能在Linux AMD64平台上成功部署Kubernetes 1.25.10。...
kubernetes-dashboard.yaml
08-11
resourceNames: ["kubernetes-dashboard-key-holder", "kubernetes-dashboard-certs"] verbs: ["get", "update", "delete"] # Allow Dashboard to get and update 'kubernetes-dashboard-settings' config map. -...
kubernetes-rbac-audit:Kubernetes中用于审计RBAC的工具
05-02
ExtensiveRoleCheck是一个Python工具,可扫描Kubernetes RBAC中的危险角色。 该工具是“ Kubernetes Pentest方法论”博客文章系列的一部分。 usage: ExtensiveRoleCheck.py [-h] [--clusterRole CLUSTERROLE] [--...
访问管理器:Kubernetes-Operator简化RBAC配置
02-07
在基于名称空间的基础上管理许多不同的RBAC-Roles时,出现了这个想法。 随着时间的推移,这变得越来越复杂,管理员始终必须确保将正确的角色应用于多个名称空间中的不同人员或ServiceAccounts。 操作员的范围仅限于...
kubernetes-model-rbac-5.8.0.jar中文-英文对照文档.zip
03-09
注:下文中的 *** 代表文件名中的组件名称。 # 包含: 中文-英文对照文档:【***-javadoc-API文档-中文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 ...
K8S存储插件-FlexVolume && CSI
zyxpaomian的博客
12-22 3193
K8S的自定义存储插件 和K8S的网络不太一样,K8S的网络只有CNI一种接口暴露方式,所有的网络实现基于第三方进行开发实现,但存储的内置实现就多达20多种,#K8S目前支持的插件类型#。但内置的往往不满足定制化的需求,所以和CNI 一样,K8S 也暴露了对外的存储接口,和CNI 一样,通过实现对应的接口方法,即可创建属于自己的存储插件,但和CNI 有点区别的是,K8S的存储插件的自定义实现方式,有FlexVolume 和 CSI 两种,两者的差别可以看做是新老功能的差异,但目前为止,FlexVolume
K8S的调度算法
zyxpaomian的博客
12-28 2786
Big Picture K8S的调度说实话一般没啥人改,因为一般的体量,基于K8S内置的算法基本就满足了,但对于大体量和特殊场景来说,还是很有必要进行修改的,比如假设有好几种业务场景的pod,需要按需要调度到不同的rack上,传统做法当然可以对Node进行label,然后在不同业务的pod上做match,同样的,也可以修改调度器,在调度的时候自动进行调度,类似的场景有点像openstack的filter模块,所以理解K8S的调度还是非常有必要,毕竟先了解了,才能修改。 informer机制,调度的开始 K8
Flannel 三大模式原理分析
zyxpaomian的博客
12-23 2507
基本概念 容器的网络交互,大致上分为overlay和underlay 两大类,underlay 一句话总结就是底层传统网络,服务底层服务器/网络设备的互联互通, overlay 一句话总结就是基于隧道技术在underlay上的叠层网络,流量需要跑在underlay上。 Flannel flannel作为K8S最常见的一个非官网CNI,支持3种网络实现: UDP, VXLAN, HOST-GW, 学习一下用于理解传统意义上的overlay网络方案还是非常好的。 UDP模式 UDP模式利用了Linux的一个特殊
calico源码分析-ipam(1)
zyxpaomian的博客
01-27 2186
背景 生产要把网络插件换成calico,对于IP的分配方法有点存疑,花了2天看下了calico-ipam的源码,学习下calico的IP分配逻辑,对比生产环境,看看有没有明显的坑。 calico比较突出的一点是可以指定单个pod的ip,也可以指定一个RS的网段,但实际用的比较少,首先不可能单个pod部署,一个rs指定一个ippool的意义并不是很大,所以主要看下自动分配的代码逻辑,代码其实不是很多,但几个概念挺绕的,根据目前的了解,简单画了一个流程图: IPAM的入口还是老三样,分IP 从cmdAdd开始
kubernetes-dashboard 部署
06-08
Kubernetes Dashboard 是 Kubernetes 官方提供的一个 Web 界面,用于管理 Kubernetes 集群。以下是部署 Kubernetes Dashboard 的步骤: 1. 下载 Kubernetes Dashboard YAML 文件: ```bash curl -LO ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值