【最简单方法学k8s】巧学k8s安全机制之基于角色的访问控制RBAC详解及排错

已于 2023-01-07 21:12:55 修改
阅读量868 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 玩会k8s实战 文章标签: kubernetes docker 运维 k8s
于 2022-11-11 08:34:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Friendsofthewind/article/details/127781840
本文旨在帮助读者理解并掌握Kubernetes的RBAC(基于角色的访问控制)机制,以增强集群安全性。通过实例演示了如何创建clusterrole、serviceAccount和clusterrolebinding,详细解释了每个步骤,并提供了命令行操作指导。最终,通过验证确保了权限设置正确,仅允许在特定namespace中创建Deployment、Daemonset和Statefulset。

目标:

掌握k8s通过RBAC的方式来控制访问,提高安全性。

难点解析:

环境说明:
在这里插入图片描述
注意:不知从哪个版本开始,创建sa不生成secret不再支持自动生成secret,本例是Ubuntu18.04.5的系统;k8s版本是1.24.0

解决方法:在所有master节点添加配置参数,启用自动生成secret功能

1、编辑apiserver配置文件:vim /etc/kubernetes/manifests/kube-apiserver.yaml
在这里插入图片描述

注意:可以添加到42行 --feature-gates=LegacyServiceAccountTokenNoAutoGeneration=false (如果有feature-gates参数,直接在后面添加,LegacyServiceAccountTokenNoAutoGeneration=false),

2、wq保存退出,同样的方式修改controller-manager 。

vim /etc/kubernetes/ma

了解本专栏 订阅专栏 解锁全文 超级会员免费看
k8s之service account
fengcai_ke的博客
07-11 3831
k8s service account分析
kubernetes支持的feature-gates特性
屈帅波的技术博客
08-13 3876
APIListChunking=true|false (BETA - default=true) APIResponseCompression=true|false (BETA - default=true) AllAlpha=true|false (ALPHA - default=false) AppArmor=true|false (BETA - default=true) AttachVolumeLimit=true|false (BETA - default=true) BalanceAttache
Kubernetes集群搭建 kubernetes集群安装
踢足球的程序员的博客
03-20 1506
Kubernetes 社区提供的集群构建工具,它能够以最佳实践的方式部署一个最小化的可用 Kubernetes 集群。但是 kubeadm 在设计上并未安装网络解决方案,所以需要用户自行安装第三方符合CNI的网络解决方案,如 flanal,calico,canal 等。kubeadm 能够部署第二种和第三种运行方式。一般用于测试环境部署使用,生产环境更推荐二进制安装,更容易排查问题。
云原生 | Kubernetes - 特性门控
Trollz的博客
01-18 1616
Cloud native | Kubernetes - feature gating
Kubernetes 1.24 - 走向成熟的 Kubernetes
DaoCloud_daoke的博客
05-05 1098
太平洋时间2022 年5 月 3 日,Kubernetes 1.24正式发布,在新版本中,我们看到 Kubernetes 作为容器编排的事实标准,正愈发变得成熟,有12项功能都更新到了稳定版本。 另外,讨论了很久的 “弃用 Dockershim” 也终于在这个版本画上了句号。虽然在新版本中,我们没有看到太多重磅的特性,但是还是引入了很多实用的功能,比如StatefulSets 支持批量滚动更新,NetworkPolicy 新增 NetworkPolicyStatus 字段方便进行故障排...
[kubernetes]Kube-APIServer
weixin_38805083的博客
12-25 1382
定义groupGroupName定义groupversion定义SchemeBuildervar (将对象加入SchemeBuilderr!= nil {return err&Pod{},}}List单一对象数据结构• TypeMeta• Spec• Status。
k8s 1.25习2 - 使用kubeadm部署单Master集群
12-11 1014
k8s 1.25
为什么选择K8S作云平台的微服务治理框架
11-28
在探讨为何选择Kubernetes(简称K8S)作为云平台上的微服务治理框架时,首先要明确微服务治理框架在云计算平台中的重要性。微服务治理框架负责管理分散的、自治的微服务实例,包括服务的发现、配置、负载均衡、健康...
云计算实训43——部署k8s基础环境、配置内核模块、基本组件安装
m0_73907608的博客
09-09 2585
K8S基本概念(功能、架构);部署k8s基础环境;配置内核模块;基本组件安装;
k8s权威指南第六章----深入分析集群安全机制
qq_32783703的博客
05-02 1594
1、API Server 认证管理 K8s集群有两种认证方式: ServiceAccount 和 普通用户 api server 访问方式: 1)kubectl kubelets 2)ServiceAccount 3)匿名方式 k8s提供的认证方式,这些方式都不仔细看了,了解下就好: 1)https 证书 2)Http Bearer Token 3) OpenId Connect Token 4)Webhook Token 5)Authenticating Proxy 认证 2、ApiSever 授权管理
实验 详解K8S的web界面部署以及解决谷歌浏览器无法访问的问题
Mr_ChenWJ的博客
11-25 2106
目录一 K8S的web界面部署二 解决谷歌浏览器访问web界面问题 一 K8S的web界面部署 ##在master01上操作## 1. 创建dashborad工作目录 [root@master01 ~]# cd /root/k8s/ [root@master01 k8s]# mkdir dashboard [root@master01 k8s]# cd dashboard/ [root@master01 dashboard]# rz -E ##传下好的yaml文件(https://github.com/k
k8s 之如何从集群外部访问内部服务的三种方法
依串烤肉
03-31 5870
1. k8s集群中三种IP(NodeIP、PodIP、ClusterIP) 1.1 三种 IP 定义 Node IP:Node 节点的 IP 地址,即物理机(虚拟机)的 IP 地址。 Pod IP:Pod 的 IP 地址,即 docker 容器的 IP 地址,此为虚拟 IP 地址。 Cluster IP:Service 的 IP 地址,此为虚拟 IP 地址。 1.2 三种 IP 的理解 No...
K8SK8S部署常见错误及解决方法
云计算之路
05-11 6376
本文主要讲解K8S在二进制部署和kubeadm部署时常见的错误以及排查思路
CentOS7服务器Docker构建ubuntu镜像出错invalid argument
weixin_33919941的博客
05-16 1012
为什么80%的码农都做不了架构师?>>> ...
k8s习(2)- 虚拟机搭建搭建Kubernetes集群(1.24.2)
jaffe的博客
02-09 4115
虚拟机搭建搭建Kubernetes集群环境虚拟机搭建配置网络1 激活虚拟机网卡2 配置静态IP使用MobaXterm连接虚拟机配置yum源关闭防火墙关闭Swap关闭 selinux:将桥接的 IPv4 流量传递到 iptables 的链时间同步安装Docker添加阿里云 YUM 软件源安装 kubeadm,kubelet 和 kubectl克隆虚拟机修改node1,node2的IP地址设置主机名在 master 添加 hosts部署 Kubernetes Master加入 Kubernetes Node部署
kubernetes实践之七:安全机制API Server认证之Service Account Token
clmaykr95629的博客
03-21 952
一:前言 Kubernetes有User Account和Service Account两套独立的账号系统。 1.User Account是给人用的,Service Account 是给Pod 里的进程使用的,面向的对象不同...
k8s sa role rolebinding secret
qq_30553857的博客
05-05 1725
一、在RBAC中的几个概念: 1、什么是RBAC RBAC全称Role-Based Access Control,是Kubernetes集群基于角色访问控制,实现授权决策,允许通过Kubernetes API动态配置策略。 2、什么是Role Role是一组权限的集合,例如Role可以包含列出Pod权限及列出Deployment权限,Role用于给某个NameSpace中的资源进行鉴权。 3、什么是ClusterRole ClusterRole是一组权限的集合,但与Role不同的是,ClusterRo
创建pod 解决命名空间sa的secrets=0 失败 No API token found for service account “default“
Bruce小鬼
11-02 1719
创建pod 解决命名空间sa没有secrets=0 失败 No API token found for service account “default” 1.概述 在创建建pod的时候发现创建总是失败,查看创建pod日志发现是没有token。然后查看sa 发现SECRETS全是0 ,没有数据,那么pod在创建的时候由于获取不到token就会出现创建失败的情况。 ...
Rancher部署k8s集群:开启容器编排新篇章
最新发布
weixin_61576086的博客
12-03 604
复制那段到master节点服务器上运行注意:注意:运行前先关闭防火墙# 临时关闭防火墙(开机会自启)# 查看防火墙状态#永久关闭(开机也不会自启)本文详细介绍了在云计算与容器化技术背景下,使用 Rancher 进行 KubernetesK8s)集群管理的相关内容。首先阐述了企业在容器化进程中面临的跨云、跨数据中心 K8s 集群管理挑战,以及 Rancher 作为解决这些挑战的关键工具的重要性和核心优势,包括多集群管理、简化 K8s 部署、安全与合规保障以及 DevOps 协作等方面的功能。
JavaWeb访问权限控制实现详解
Java Web实现的访问权限控制示例主要涉及了Java Web开发中的安全机制,特别是通过使用过滤器(filter)技术来实现对Web资源访问权限的控制。在Java EE(现在称为Jakarta EE)的规范中,过滤器是一种用于转换请求和...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术职场教练

您的是我坚持原创免费作品的不懈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值