Kubernetes生产实践系列之一:Kubernetes基于RBAC的访问权限控制

最新推荐文章于 2025-08-21 18:52:11 发布
原创 最新推荐文章于 2025-08-21 18:52:11 发布 · 1.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Kubernetes #namespace #serviceaccount

本文深入探讨Kubernetes的RBAC权限管理系统,讲解如何通过User和ServiceAccount进行认证,以及如何通过Role和ClusterRole实现对集群资源的细粒度授权。适合Kubernetes管理员和技术人员阅读。

一、前言

在Kubernetes的使用过程中,用户和集群各类资源对象的关系是最初始也是最基本的需要解决的问题。在Kubernetes的体系中,用户账号叫做subject,包括两个种类:User和ServiceAccount,前者给个人使用,后者给Pod使用;而所有的namespace级别和集群级别的资源叫做object;Kubernetes使用RBAC机制操作subject和object,来向外部提供干预系统状态的干预者的认证和授权机制。在v1.6之前,Kubernetes使用ABAC进行权限管理,在v1.8之后RBAC机制进入稳定阶段。

通过使用RBAC机制,是的系统管理员、研发、测试等不同集群使用者就能更细粒度使用和管理集群的资源,满足多namespace、多种权限(只读、读写、跨namespace读/写)等需求。

转载自https://blog.youkuaiyun.com/cloudvtech

二、用户账户的建立和认证

集群外部实体(管理员、namespace用户或者服务研发)和集群内部实体(Kubernetes系统和部署于集群上应用)都会有访问和调控系统资源的需求,外部实体使用User(Kubernetes有一个User类型的资源来代表)进行集群访问接入,内部实体(Pod里面的进程)使用ServiceAccount进行集群访问接入。User账户是没有namespace属性的,ServiceAccount账户是有namespace属性的。

对于外部用户账户,实际上,使用集群ca证书和用户的签名证书为用户颁发的集群访问证书,只是表明外部用户被认证过能访问API Server接口,但是在管理员将这个用户通过Kind:User注册到集群之前, API Server是不会响应资源操作请求的。除了上述使用签名证书方式来验证外部用户(用户的名字在制作证书的时候的CN属性里面填写)之外,还可以通过静态token文件或者静态密码文件进行外部用户验证,但是这要求在API Server启动的时候指定这些静态文件。

对于内部用户账户ServiceAccount(sa),可以用于授权Pod里面的进程访问API Server,它所对应的secret的token可以用于集群外部进程访问API Server。API Server被创建之后,token controller会为这个sa建立一个secret object:

在POD启动时,如果指定使用该sa,则sa对应secret里面的token和ca文件会被自动挂载到容器的/var/run/secrets/kubernetes.io/serviceaccount/目录:

Containers:

  nginx:

    Container ID:   docker://d5fee046729b8010c7fa0f6d7abd0c6bf08238dce0041979124bd143e6b3eb53

    Image:          172.2.2.11:5000/nginx:1.14

    ......

    Mounts:

      /var/run/secrets/kubernetes.io/serviceaccount from default-token-khs2h (ro)

......

Volumes:

  default-token-khs2h:

    Type:        Secret (a volume populated by a Secret)

    SecretName:  default-token-khs2h

    Optio

最低0.47元/天 解锁文章
K8s系列之:KubernetesRBAC (Role-Based Access Control)
zhengzaifeidelushang的博客
07-06 193
K8s系列之:KubernetesRBAC (Role-Based Access Control)
Kubernetes 安全系列之: RBAC权限错误配置的隐患
SRE进阶之路
02-02 770
我们对K8S集群中的一些 Pod 已采取限制,以防止它们访问 API server。 然而,一位安全分析师刚刚报告说 Pod 仍然可以绕过现有的控制并查询 API。 本文将通过重现攻击来验证问题是否存在,并修复错误的配置。
Kubernetes学习之RBAC
Micky_Yang的博客
09-17 423
一、访问控制概述   API Server作为Kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,余下所有需要访问集群资源的组件,包括kube-controller-manager、kube-scheduler、kubelet和kube-proxy等集群基础组件、CoreDNS等集群的附加组件以及此前使用的kubelet命令等都要经由网关进行集群访问和管理。这些客户端均要经由API Server访问或改变集群状态并完成数据存储,并由它对每一次的访问请求进行合法性校验,包括用户身份鉴别、操作权
kubernetes系列KubernetesRBAC
margu_168的博客
07-11 1502
k8s的权限控制在实际工作中不那么经常使用,但是却是很重要的,我们需要深入理解才能很好的解决某些问题。在我们现目前的了解中,常用的授权插件有以下几种: Node(节点认证) ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) Webhook(基于http回调机制的访问控制kubernetes 集群相关所有的交互都需要通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,Kubernetes的授权是基于插件形式的,在1.5版的时候引入了基于角色的访问控制(Role-Bas
KubernetesRBAC
weixin_50071922的博客
10-08 384
文章目录前言一、RBAC API 对象二、创建一个只能访问某个namespace的用户二、使用步骤1.引入库2.读入数据总结 前言 RBAC 使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启动RBAC,需要在 apiserver 中添加参数 --authorization - mode - RBAC,如果使用 kubeadm 安装的集群,1.6版本以上都默认开启了 RBAC, 可以通过查看Maste
kubernetes实践之十六:RBAC 角色访问控制
clmaykr95629的博客
04-14 114
一:RBAC体系结构 二:RBAC角色绑定流程 三:说明 1.RBAC的优势 a.对集群中的资源和非资源权限均有完整覆盖 b.RBAC由API对象完成,可以用Kubectl或API进行操作 c.可以在允许时进...
Kubernetes RBAC 详解
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
03-24 2472
原文链接:Kubernetes RBAC 详解 前面两节课我们学习了Kubernetes中的两个用于配置信息的重要资源对象:ConfigMap和Secret,其实到这里我们基本上学习的内容已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前,我们还需要给大家讲解一个重要的概念:RBAC - 基于角色的访问控制RBAC使用rba...
Kubernetes生产实践系列之九:通过RPM安装Kubernetes HA集群
cloudvtech的博客
05-10 670
一、前言
Kubernetes RBAC实践与工具:资源访问控制指南
RBAC,即基于角色的访问控制(Role-Based Access Control),是一种在Kubernetes中确保安全性的机制。它通过定义用户角色和权限来控制Kubernetes资源的访问。本知识点将对RBACKubernetes中的实现、相关工具和...
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1250
在K8s上的RBAC设计和实现方式说明
kubernetes源码分析之RBAC
柳清风的专栏
05-05 2243
在介绍源码之前还是解释一下这个RBAC吧,RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。 在kubernetes1.6以后正式引入RBAC这个东西,其实这个
KubernetesRBAC授权控制
weixin_43297299的博客
05-26 797
01、前言 众所周知,kubernetes API是kubernetes的核心组件,kubernetes API以REST接口的形式将Pods、Service、Deployment等信息定义为资源,而这些资源我们又是怎样操作它们的呢?在kubernetes 1.6之后社区逐渐使用RBAC的认证模式,下面将会详细介绍这种认证模式。 02、kubernetes的认证机制   1)如何访问kubernetes API 使用者可以通过kubectl客户端、各个代码语言的客户端库程序或者通过发送REST请求来
k8s rbac
SHELLCODE_8BIT的博客
03-10 2144
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
Kubernetes集群中RBAC简介
tyxjolin的专栏
03-29 1178
Kubernetes中,RBAC 是一种标准的权限控制机制,允许管理员通过角色来限制特定用户或用户组对集群资源的访问权限RBAC主要使用四个Kubernetes API资源来定义和实施权限:Role您可以使用YAML文件来定义角色的权限。kind: Rolemetadata:rules:以上定义了一个名为pod-reader的角色,它可以在默认命名空间中获取(get)、观察(watch)并列出(list)Pods。接下来,使用YAML文件来定义角色绑定。
RBAC
一路学习
12-08 854
基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注。在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户可以很容易地从一个角色被指派到另一个角色。角色可依新的需求和
【k8s系列RBAC
yunqi1215的博客
04-10 159
rbac
K8s—使用 RBAC 鉴权
Yuanshigou9的博客
12-30 943
K8s:Role、ClusterRole、RoleBinding、ClusterRoleBinding
K8s安全管理与持久化存储实战指南
最新发布
2503_91960880的博客
08-21 777
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;认证->授权->准入控制(admination controller)1.认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证2.授权(Authorization)是对资源的授权,k8s中的资源无非是容器,最终其实就是容器的计算,网络,存储资源,当一个请求经过认证后,需要访问某一个资源(比如创建一个pod),授权检查会根据授权规则判定该资源(比如某namespace下的pod)是否是该客户可访问的。
k8s安全框架RBAC
qq_73797346的博客
11-04 1054
介绍K8S的RBAC,和丰富的授权案例。 以及dashboard组件如何部署授权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值