k8s中RBAC使用

原创 已于 2024-11-28 10:23:48 修改 · 916 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #docker #容器

于 2024-11-12 17:32:53 首次发布

原文出处: 25-k8s集群中-RBAC用户角色资源权限_权限 资源 角色-优快云博客   

这里根据自己的实践做了完善笔记.


1,用户的创建流程

1,User
2,SerciceAccount
3,Group

本质上讲,在k8s系统中,用户,就是一个文件,这个文件在当前登录用户的家目录下;

这个文件config,就代表“我”是谁;

        这里面并没有角色、权限信息,角色和权限信息,在其他位置;

[root@k8s231 ~]# ll .kube/config 
-rw------- 1 root root 5634 Jan  1 19:40 .kube/config

        所以,要创建用户,就是要创建这个文件;

        那么如何创建这个文件呐?

· ssl流程介绍


        知道了ssl原理,https请求过程,我们就了解了,ssl的安全机制;

        实际上k8s当中“根证书”早就生成好了,在我们kubeadm部署的时候,就自动帮我们生成了;

        k8s是模拟ca机构,给自己颁发证书,自己验证自己,所以,整数中有私钥、公钥等;

[root@k8s231 ~]# ll /etc/kubernetes/pki/
total 56
-rw-r--r-- 1 root root 1281 Jan  1 19:39 apiserver.crt
-rw-r--r-- 1 root root 1155 Jan  1 19:39 apiserver-etcd-client.crt
-rw------- 1 root root 1679 Jan  1 19:39 apiserver-etcd-client.key
-rw------- 1 root root 1675 Jan  1 19:39 apiserver.key
-rw-r--r-- 1 root root 1164 Jan  1 19:39 apiserver-kubelet-client.crt
-rw------- 1 root root 1679 Jan  1 19:39 apiserver-kubelet-client.key
#根证书
-rw-r--r-- 1 root root 1099 Jan  1 19:39 ca.crt
#ca机构的私钥
-rw------- 1 root root 1679 Jan  1 19:39 ca.key
drwxr-xr-x 2 root root  162 Jan  1 19:39 etcd
-rw-r--r-- 1 root root 1115 Jan  1 19:39 front-proxy-ca.crt
-rw------- 1 root root 1675 Jan  1 19:39 front-proxy-ca.key
-rw-r--r-- 1 root root 1119 Jan  1 19:39 front-proxy-client.crt
-rw------- 1 root root 1679 Jan  1 19:39 front-proxy-client.key
-rw------- 1 root root 1675 Jan  1 19:39 sa.key
-rw------- 1 root root  451 Jan  1 19:39 sa.pub
1.生成用户证书

      一个用户一个证书,这个用户证书,就是用来生成,用户文件的(也就是家目录下的config)

· 生成kubeconfig用户授权文件
        有了这个授权文件,我们就拥有了一个用户了;

        但是,还没有任何权限,还无法使用;

2.创建角色和规则

        通过资源清单的方式,创建角色和规则;

        角色就是:

1,Role:局部资源角色

2,ClusterRole:全局资源角色

        规则就是:这个角色的权限;能使用什么资源、不能使用什么资源,,,,

3,角色与用户的绑定
        根据角色的不同,创建资源清单,对应不同的绑定资源清单的编写;

1,RoleBinding

2,ClusterRoleBinding

        只要角色和用户绑定完成,那么,RBAC的整个流程就结束了;

        我们就成功创建了一个带有特定权限的用户;就可以分发给“同事”进行使用了;

4,逻辑流程的总结


RBAC创建初体验

1,创建用户【user】
· 生成用户ssl证书
        以往我们使用openssl的工具命令生成证书,比较繁琐,本次学习,我给大家介绍一个证书生成工具,叫做cfssl证书生成工具;

1,上传/下载cfssl证书生成工具

或者去github地址下载:https://github.com/cloudflare/cfssl

最低0.47元/天 解锁文章
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 2301
RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
25-k8s集群中-RBAC用户角色资源权限
2302_79199605的博客
02-21 3665
1,User3,Group本质上讲,在k8s系统中,用户,就是一个文件,这个文件在当前登录用户的家目录下;这个文件config,就代表“我”是谁;这里面并没有角色、权限信息,角色和权限信息,在其他位置;所以,要创建用户,就是要创建这个文件;那么如何创建这个文件呐?知道了ssl原理,https请求过程,我们就了解了,ssl的安全机制;实际上k8s当中“根证书”早就生成好了,在我们kubeadm部署的时候,就自动帮我们生成了;
k8s - 安全认证(RBAC
栋院
03-18 3143
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
K8S认证、授权与准入控制(RBAC)详解
IT8421的博客
04-18 4082
前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予“角色”(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必...
k8s rbac
SHELLCODE_8BIT的博客
03-10 2144
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
K8S 创建 RBAC
一直被模仿,从未被超越
03-14 1015
RBAC基于角色的访问控制--全拼 Role-Based Access Control 一、创建 K8S 账号、 1、创建证书 # 创建私钥 openssl genrsa -out tom.key 2048 # 用此私钥创建一个csr(证书签名请求)文件 openssl req -new -key tom.key -subj "/CN=tom" -out tom.csr # 拿着私钥和请求文件生成证书 openssl x509 -req -in tom.csr -CA /etc/kubern.
k8s安全框架RBAC
qq_73797346的博客
11-04 1054
介绍K8SRBAC,和丰富的授权案例。 以及dashboard组件如何部署授权
K8s使用 RBAC 鉴权
Yuanshigou9的博客
12-30 942
K8s:Role、ClusterRole、RoleBinding、ClusterRoleBinding
k8s:RBAC
m0_50434960的博客
03-12 592
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1249
K8s上的RBAC设计和实现方式说明
K8S安全-RBAC
运维@小兵的博客
11-22 1631
文章目录一、Kubernetes 安全框架`1.1.鉴权(Authentication)``1.2.授权(Authorization)``1.3.准入控制(Admission Control)`二、基于角色的权限访问控制:RBAC`2.1.角色``2.2.角色绑定``2.3.主体(subject)`三、为devops用户授权访问default命名空间权限`3.1.用K8S CA签发客户端证书`3.1.1.[Shell脚本安装cfssl](https://blog.youkuaiyun.com/anqixiang/art
K8s安全管理与持久化存储实战指南
最新发布
2503_91960880的博客
08-21 774
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;认证->授权->准入控制(admination controller)1.认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证2.授权(Authorization)是对资源的授权,k8s中的资源无非是容器,最终其实就是容器的计算,网络,存储资源,当一个请求经过认证后,需要访问某一个资源(比如创建一个pod),授权检查会根据授权规则判定该资源(比如某namespace下的pod)是否是该客户可访问的。
k8s-RBAC
weixin_45483207的博客
03-22 284
RBAC 授权 kubeconfig 使集群内各个组件能连接到APIServer的认证客户端配置文件 授权插件 Node:授权给kubelet ABAC: Webhook: RBAC:基于角色的访问控制 授权可分为当前名称空间和clusterRole(集群角色) role //指明了哪些用户能对哪些对象做什么操作(有哪些权限) rolebinding //指明了哪些主体可以绑定到role上面 rolebindin
K8sRBAC模型
s1056481432的博客
03-16 317
RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群中的身份有两种:用户(User)和服务账号(Service Account),其中service account是k8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa中的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。
K8s系列之:KubernetesRBAC (Role-Based Access Control)
zhengzaifeidelushang的博客
07-06 193
K8s系列之:KubernetesRBAC (Role-Based Access Control)
k8s系列】RBAC
yunqi1215的博客
04-10 158
rbac
k8s使用 RBAC 鉴权
qq_36972930的博客
08-02 1078
基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。RBAC 鉴权机制使用 rbac.authorization.k8s.io API 组来驱动鉴权决定, 允许你通过 Kubernetes API 动态配置策略。要启用 RBAC,在启动 API 服务器时将 --authorization-mode 参数设置为一个逗号分隔的列表并确保其中包含 RBAC
K8S RBAC介绍
小单的博客专栏
03-19 5471
Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。所以RBAC也就...
K8SRBAC详解
08-09
### RBAC 的核心原理 Kubernetes 中的 RBAC(基于角色的访问控制)是一种通过角色定义权限,并将角色绑定到用户或服务账户的机制。RBAC 使用 `rbac.authorization.k8s.io` API 组来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略[^2]。其核心模型由以下几个组件构成: - **Role(角色)**:定义在某个命名空间中的权限规则,例如对 Pod 的读写权限。 - **ClusterRole(集群角色)**:与 Role 类似,但作用范围是整个集群,适用于跨命名空间的资源。 - **RoleBinding(角色绑定)**:将 Role 绑定到某个用户或服务账户,使其在特定命名空间中拥有该角色的权限。 - **ClusterRoleBinding(集群角色绑定)**:将 ClusterRole 绑定到用户或服务账户,使其在整个集群范围内拥有相应权限。 这些组件共同构成了 Kubernetes 的权限控制体系,使得集群管理员可以灵活地控制不同用户或服务账户对资源的访问权限。 --- ### RBAC 的启用与配置 要启用 RBAC,需要在 kube-apiserver 启动参数中添加 `--authorization-mode=RBAC`,如果使用 kubeadm 安装的集群,1.6 版本以上默认开启了 RBAC。可以通过查看 Master 节点上 apiserver 的静态 Pod 定义文件来确认: ```bash $ cat /etc/kubernetes/manifests/kube-apiserver.yaml ... - --authorization-mode=Node,RBAC ``` 一旦启用 RBAC,就可以通过创建 Role、ClusterRole、RoleBinding 和 ClusterRoleBinding 来配置权限策略。 --- ### 角色与绑定的配置示例 以下是一个 Role 的定义示例,限制某个用户只能在特定命名空间中读取 Pod 和 Service: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: development name: pod-reader rules: - apiGroups: [""] resources: ["pods", "services"] verbs: ["get", "list"] ``` 接着,创建一个 RoleBinding 将该角色绑定到某个用户: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: development subjects: - kind: User name: developer apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 如果希望该角色在整个集群范围内生效,则应使用 ClusterRole 和 ClusterRoleBinding: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: cluster-reader rules: - apiGroups: [""] resources: ["pods", "nodes", "services"] verbs: ["get", "list"] ``` 绑定 ClusterRole 到用户: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: bind-cluster-reader subjects: - kind: User name: admin apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: cluster-reader apiGroup: rbac.authorization.k8s.io ``` 通过上述配置,可以实现细粒度的权限控制,增强 Kubernetes 集群的安全性和可管理性[^1]。 --- ### RBAC 的优势与应用场景 RBAC 提供了强大的权限管理能力,适用于多租户环境、多项目协作、自动化运维等多种场景。例如: - 在开发与生产环境之间设置不同的访问策略,确保开发人员无法修改生产环境的配置。 - 为 CI/CD 工具分配最小权限,仅允许其访问必要的资源,防止误操作或安全漏洞。 - 在多团队共享集群时,通过命名空间隔离和 RoleBinding 控制不同团队对资源的访问范围。 此外,RBAC 还支持聚合 ClusterRole,允许将多个角色组合成一个更高级别的权限集合,便于集中管理权限策略。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值