【Kubernetes 集群】如何创建 RBAC 权限策略

最新推荐文章于 2025-03-24 10:09:54 发布
原创 最新推荐文章于 2025-03-24 10:09:54 发布 · 1.3k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器

本文档介绍账号如何在 Kubernetes 集群中如何根据无权限信息创建 RBAC 权限策略,在特定集群中创建权限集合并绑定对应子账号,绑定后子账号将能管理集群下的资源。

报错示例

当子账号没有特定集群的 RBAC 权限并尝试获取资源时,将出现如下报错:

获取 Namespace 下的资源:





获取集群维度下的资源:







前提条件

使用主账号或拥有该集群 RBAC admin 权限的子账号进行授权操作。

操作步骤

登录 容器服务控制台,单击左侧导航栏中的集群

如果是主账号或者已被授权过 AcquireClusterAdminRole 接口的权限,但并没有该集群的 RBAC admin 权限,可以在集群管理页面,选择目标集群,进入集群详情页。在授权管理 > ClusterRole 中,通过获取集群 Admin 角色进行授权。如下图所示:







授权管理 > ClusterRole 中,单击 RBAC 策略生成器,选择子账户进行授权。如下图所示:







新建 ClusterRole 页面,检索对应子账号,单击下一步







集群 RBAC 设置中,给子账号授予权限。如下图所示:







Namespace列表:选择是授予 Namespace 级别还是 Cluster 级别的权限。

权限:权限种类分别包含对集群不同范围的权限。

管理员:对所有命名空间下资源的读写权限,拥有集群节点、存储卷、命名空间、配额的读写权限,可配置子账号和权限的读写权限。

运维人员:对所有命名空间下资源的读写权限,拥有集群节点、存储卷、命名空间、配额的读写权限。

开发人员:对所有命名空间或所选命名空间下控制台可见资源的读写权限。

只读用户:对所有命名空间或所选命名空间下控制台可见资源的只读权限。

自定义权限:由您所选择的 ClusterRole 决定,请在确定所选 ClusterRole 对各类资源的操作权限后再进行授权,以免子账号获得不符合预期的权限。

单击完成,完成按策略生成器授予权限的操作。

权限示例

集群 Admin
 

apiVersion: "rbac.authorization.k8s.io/v1beta1"
 

kind: "ClusterRole"
 

metadata:
 

name: "tke:admin"
 

labels:
 

cloud.tencent.com/tke-rbac-generated: "true"
 

rules:
 

-
 

apiGroups:
 

- "*"
 

resources:
 

- "*"
 

verbs:
 

- "*"
 

-
 

nonResourceURLs:
 

- "*"
 

verbs:
 

- "*"
 

集群运维管理人员
 

 

apiVersion: "rbac.authorization.k8s.io/v1beta1"
 

kind: "ClusterRole"
 

metadata:
 

name: "tke:ops"
 

labels:
 

cloud.tencent.com/tke-rbac-generated: "true"
 

rules:
 

-
 

apiGroups:
 

- ""
 

resources:
 

- "pods"
 

- "pods/attach"
 

- "pods/exec"
 

- "pods/portforward"
 

- "pods/proxy"
 

verbs:
 

- "create"
 

- "delete"
 

- "deletecollection"
 

- "get"
 

- "list"
 

- "patch"
 

- "update"
 

- "watch"
 

-
 

apiGroups:
 

- ""
 

resources:
 

- "configmaps"
 

- "endpoints"
 

- "persistentvolumeclaims"
 

- "replicationcontrollers"
 

- "replicationcontrollers/scale"
 

- "secrets"
 

- "serviceaccounts"
 

- "services"
 

- "services/proxy"
 

verbs:
 

- "create"
 

- "delete"
 

- "deletecollection"
 

- "get"
 

- "list"
 

- "patch"
 

- "update"
 

- "watch"
 

-
 

apiGroups:
 

- ""
 

resources:
 

- "bindings"
 

- "events"
 

- "limitranges"
 

- "namespaces/status"
 

- "replicationcontrollers/status"
 

- "pods/log"
 

- "pods/status"
 

- "resourcequotas"
 

- "resourcequotas/status"
 

- "componentstatuses"
 

verbs:
 

- "get"
 

- "list"
 

- "watch"
 

-
 

apiGroups:
 

- ""
 

resources:
 

- "namespaces"
 

- "nodes"
 

- "persistentvolumes"
 

verbs:
 

- "create"
 

- "delete"
 

- "deletecollection"
 

- "get"
 

- "list"
 

- "patch"
 

- "update"
 

- "watch"
 

-
 

apiGroups:
 

- "apps"
 

resources:
 

- "daemonsets"
 

- "deployments"
 

- "deployments/rollback"
 

- "deployments/scale"
 

- "replicasets"
 

- "replicasets/scale"
 

- "statefulsets"
 

verbs:
 

- "create"
 

- "delete"
 

- "deletecollection"
 

- "get"
 

- "list"
 

- "patch"
 

- "update"
 

- "watch"
 

-
 

apiGroups:
 

- "autoscaling"
 

resources:
 

- "horizontalpodautoscalers"
 

verbs:
 

- "create"
 

- "delete"
 

- "deletecollection"
 

- "get"
 

- "list"
 

- "patch"
 

- "update"
 

- "watch"
 

-
 

apiGroups:
 

- "autoscaling.cloud.tencent.com"
 

resources:
 

- "horizontalpodcronscalers"
 

verbs:
 

- "create"
 

- "delete"
 

- "deletecollection"
 

- "get"
 

- "list"
 

- "patch"
 

- "update"
 

- "watch"
 

-
 

apiGroups:
 

- "batch"
 

resources:
 

- "cronjobs"
 

- "jobs"
 

verbs:
 

- "create"
 

- "delete"
 

- "deletecollection"
 

- "get"
 

- "list"
 

- "patch"
 

- "update"
 

- "watch"
 

-
 

apiGroups:
 

- "extensions"
 

- "networking.k8s.io"
 

resources:
 

- "daemonsets"
 

- "deployments"
 

- "deployments/rollback"
 

- "deployments/scale"
 

- "ingres

                

        

    



  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    

      

        

            

              
                
                  soso160
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
RBAC授权模式操作

				
			

			

				

					qq_46654855的博客
				

				

					07-22
					
					487
					
				

			

		

		

			
				
者让账号给子账号在CAM拥有AcquireClusterAdminRoleAction权限之后可以通过此方式获取集群KubernetesRBAC的tkeadmin角色。,联系集群管理员(一般集群创建者和账号都是默认集群admin角色)通过登录容器控制台,点击对应集群,在授权管理处为子账号添加对应集群权限。1,目前新集群默认开启了RBAC授权模式,便于对子账号进行细粒度的访问权限控制。如下步骤集群>授权管理>RBAC策略生成器>下一步。CAM,新建策略>按策略生成器创建。......

			
		

	



                

            
              



	

		

			

				
					
如何使用RBAC授权和OPA来保护Kubernetes集群 Securing Kubernetes Clusters with RBAC Authorization

				
			

			

				

					AI天才研究院
				

				

					08-13
					
					321
					
				

			

		

		

			
				
Kubernetes是一个开源容器集群管理系统,通过提供自动化部署、横向扩展和滚动更新等功能,能够方便地部署容器化应用。它具有强大的API,允许用户创建、配置和管理多个容器化应用,并提供丰富的工具和组件来简化部署流程。在生产环境中,为了确保应用的安全性,需要对集群进行保护,以防止恶意攻击安全漏洞导致的应用损失。在Kubernetes集群中,可以使用基于角色的访问控制(RBAC)和开放策略代理(OPA)实现权限控制。本文将讨论如何使用RBAC授权和OPA来保护Kubernetes集群

			
		

	



              


  
              

                


	

		

			

				
					
Clusterrolebindings 创建错误

					
热门推荐

				
			

			

				

					知行合一 止于至善
				

				

					07-29
					
					1万+
					
				

			

		

		

			
				
这篇文章memo一下kubernetes的clusterrolebinding创建错误的问题确认过程。kubernetes从1.8之后将RBAC作为了缺省的认证方式,自然clusterrole和clusterrolebinding相关的操作也会越来越多,这篇文章以一个常见的粗心的错误来介绍一下对应的方法。

			
		

	





	

		

			

				
					
【错误解决】kubectl权限不够,报错:User “kubernetes“ cannot create resource “clusterrolebindings“ in API group “rb

				
			

			

				

					weixin_42072280的博客
				

				

					03-11
					
					9781
					
				

			

		

		

			
				
错误:
kubectl --server=https://192.168.56.169:6443 create clusterrolebinding kubernetes  --clusterrole=cluster-admin --user=kubernetes 
报错信息:
error: failed to create clusterrolebinding: clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "kubern

			
		

	



		

			
		



	

		

			

				
					
报错!clusterrolebindings.rbac.authorization.k8s.io “cluster-admin-binding“ already exists解决办法

				
			

			

				

					weixin_47153988的博客
				

				

					09-29
					
					8236
					
				

			

		

		

			
				
项目场景:
在使用二进制部署k8s群集时,遇到了签名证书无法创建的问题
问题描述:
在创建bootstrap角色赋予权限用于连接apiserver求签名时,出现以下报错信息:
[root@master kubeconfig]# kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kubelet-bootstrap
Error from server (Alread

			
		

	





	

		

			

				
					
RBAC授权

					
最新发布

				
			

			

				

					qq_25096749的博客
				

				

					03-24
					
					930
					
				

			

		

		

			
				
RBAC模型(Role-Based Access Control 基于角色的访问控制),就是用户通过绑定角色就能拥有该角色所拥有的权限。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。(可以把角色理解为组,用户加入组即用户绑定角色)k8s先创建基于证书的用户,然后给用户授权角色权限,然后把用户证书写入到kubeconfig,开发人员就可以远程使用用户证书连接k8s了RBAC有2种账户RBAC有2种角色RBAC有2种绑定关系RBAC资源与权限

			
		

	





	

		

			

				
					
Kubernetes 集群中如何根据无权限信息创建 RBAC 权限策略

				
			

			

				

					2403_88111660的博客
				

				

					11-29
					
					2340
					
				

			

		

		

			
				
本文档介绍账号如何在 Kubernetes 集群中如何根据无权限信息创建 RBAC 权限策略,在特定集群创建权限集合并绑定对应子账号,绑定后子账号将能管理集群下的资源。

			
		

	





	

		

			

				
					
Kubernetes中的RBAC

				
			

			

				

					专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
				

				

					05-14
					
					586
					
				

			

		

		

			
				
Kubernetes中的RBAC(Role-Based Access Control,基于角色的访问控制)是一种机制,用于控制集群内资源的访问权限RBAC允许管理员通过定义角色(Roles和ClusterRoles)并将其绑定到用户服务账户(通过RoleBindings和ClusterRoleBindings)来精细地管理访问控制。

			
		

	





	

		

			

				
					
Kubernetes中的RBAC权限控制指南

				
			

			

				

					
				

			

		

		

			
				
 理解Kubernetes中的RBAC权限控制  ## 1.1 什么是RBAC权限控制? 在Kubernetes中,RBAC(Role-Based Access Control)是一种基于角色的访问控制机制,用于管理对集群资源的访问权限。通过定义角色和将其与用户服务...

			
		

	





	

		

			

				
					
二进制部署高可用Kubernetes集群 (成功) 看报错

				
			

			

				

					m0_59267075的博客
				

				

					05-17
					
					2116
					
				

			

		

		

			
				
序号名字功能VMNET 1备注 + 1备注 + 2备注 +3备注 + 4备注 +50orgin界面haproxykeepalived1仓库yum 仓库registoryhaproxykeepalived2master01H-K8S-1kube-apicontrollerscheduleretcd3master02H-K8S-2kube-apicontrollerscheduleretcd4master03H-K8S-3。

			
		

	





	

		

			

				
					
k8s: error: failed to create clusterrolebinding connection refused

				
			

			

				

					mzhan017的博客
				

				

					05-21
					
					1079
					
				

			

		

		

			
				
从错误上看是要连123.456.87.99:6443,这个IP端口的tcp。就是我方发SYN,对方回RST。我方client,期望对方是server(是否已经监听在这个服务端口)。需要ss看端口是否打开。如果开了端口,还是有问题,就要使用tcpdump抓包看看,是否是网络上的防火墙导致问题。这种问题的一般原因就是端口没有开放,内核动发RST。

			
		

	





	

		

			

				
					
25-k8s集群中-RBAC用户角色资源权限

				
			

			

				

					2302_79199605的博客
				

				

					02-21
					
					3693
					
				

			

		

		

			
				
1,User3,Group本质上讲,在k8s系统中,用户,就是一个文件,这个文件在当前登录用户的家目录下;这个文件config,就代表“我”是谁;这里面并没有角色、权限信息,角色和权限信息,在其他位置;所以,要创建用户,就是要创建这个文件;那么如何创建这个文件呐?知道了ssl原理,https求过程,我们就了解了,ssl的安全机制;实际上k8s当中“根证书”早就生成好了,在我们kubeadm部署的时候,就自动帮我们生成了;

			
		

	





	

		

			

				
					
K8s 创建bootstrap角色赋予权限用于连接apiserver求签名报错

				
			

			

				

					HB199753的博客
				

				

					12-15
					
					1360
					
				

			

		

		

			
				
错误集——k8s 创建bootstrap角色赋予权限用于连接apiserver求签名报错

错误代码:Error from server (AlreadyExists): clusterrolebindings.rbac.authorization.k8s.io “kubelet-tstrap” already exists


[root@hellolic ~/k8s/kubeconfig] # kubectl create clusterrolebinding kubelet-bootstrap --

			
		

	





	

		

			

				
					
Kubernetes认证、鉴权与准入控制(二)

				
			

			

				

					qq_35529116的博客
				

				

					11-01
					
					1257
					
				

			

		

		

			
				
那么接下来就通过案例的方式将整个流程通过实验的方式予以展现:首先,我们先需要创建所需要的账户(User account  Service Account),为了方便起见,我们可以通过静态令牌的方式创建User Account。

			
		

	





	

		

			

				
					
基于RBAC的通用权限管理系统的详细分析与实现(理念篇——权限对象、权限项、功能权限、数据权限权限组、权限设计)

				
			

			

				

					晓风残月淡的博客
				

				

					10-02
					
					8087
					
				

			

		

		

			
				
在与人沟通的过程中,我们很多次提到了权限,但是权限具体的含义每个人理解的含义都不明确,这样很容易造成双方信息不对称,有的人就只是把权限理解成某个页面的是否可访问,但是有的人却理解成其他的东西。

所以我们要彻底的定义一下权限是什么?

“权限”这个词语,我们谈论时到底是名词属性还是动词属性?这对于权限的含义很重要。

如果是名词属性的话,那么它应该是有具体的指代物;如果是动词,则应该具有行为表示。
- 权限的名词属性:api接口、页面、业务功能等。
- 权限的动词属性:可访问、新增、编辑、可操作、不可操作

			
		

	





	

		

			

				
					
Kubernetes详解(五十五)——ClusterRole与RoleBinding

				
			

			

				

					永远是少年
				

				

					05-11
					
					2834
					
				

			

		

		

			
				
今天继续给大家介绍Linux运维相关知识,本文要内容是Kubernetes ClusterRole创建和Rolebinding。
一、Kubernetes ClusterRole创建
二、Kubernetes Rolebinding
三、效果展示

			
		

	





	

		

			

				
					
猿创征文|云原生|kubernetes学习之RBAC(六)

				
			

			

				

					zsk_john的技术分享专用博客
				

				

					09-04
					
					683
					
				

			

		

		

			
				
kubernetes集群系统比较复杂的部分应该算是权限验证了,本文也要就二进制安装的k8s集群权限控制做一个简单的抛砖引玉。要还是根据前面所写的部署博客来分析,博文地址为:kubernetes二进制安装教程单master_zsk_john的博客-优快云博客一,什么是权限控制?什么是RBAC?一般我们认为RBAC就是权限控制,是基于角色来进行的细度话的权限控制,要在于用户可能有一个,但,用户的属性,角色可能会有很多个,这样组合方式就非常多,也能做到更加的精细,细粒度很高。RBAC(Role-Base

			
		

	





	

		

			

				
					
(史上最完整)k8s和kubesphere搭建图文教程

				
			

			

				

					weixin_42604996的博客
				

				

					07-26
					
					1万+
					
				

			

		

		

			
				
搭建前的准备

1.安装最小版的centos7.6系统

安装过程参考如下:https://blog.youkuaiyun.com/qq_54331104/article/details/118944909

(ps):在这里我们是在 Kubernetes1.17上安装 KubeSphere v3.0.0,如需详细知道版本兼容问题,参考kubesphere官网:https://kubesphere.com.cn/docs/quick-start/minimal-kubesphere-on-k8s/
k8...

			
		

	





	

		

			

				
					
关于RBAC权限的说明

				
			

			

				

					caodaoxi的专栏
				

				

					10-23
					
					328
					
				

			

		

		

			
				
关于RBAC权限的说明。权限往往是一个极其复杂的问题,但也可简单表述为这样的逻辑表达式:判断“Who对What(Which)进行How的操作”的逻辑表达式是否为真。针对不同的应用,需要根据项目的实际情况和具体架构,在维护性、灵活性、完整性等N多个方案之间比较权衡,选择符合的方案。目标:直观,因为系统最终会由最终用户来维护,权限分配的直观和容易理解,显得比较重要,系统不辞劳苦的实现了组的继承,除了功...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值