k8s中的RBAC鉴权将用户固定在某个namespace下

已于 2023-08-22 15:46:19 修改
阅读量253 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 容器 文章标签: kubernetes docker 容器 云原生
于 2023-08-22 15:33:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lhuang0813/article/details/132428344

一、背景示例

用户:zhangsan

ns: b2b-pro-uat

允许用户zhangsan只访问b2b-pro-uat的ns下的pod,以及deploy。

二、创建SA

[root@k8s-master05 tmp]# kubectl -n b2b-pro-uat create sa zhangsan
serviceaccount/zhangsan created

三、创建对应的Role

PS:若不了解各自resoureces对应的apiGroup可用kubectl api-resources -o wide 查询对应关系。例如deploy对应的apiGroups可进行以下查询:

[root@k8s-master05 tmp]# kubectl api-resources -o wide|grep deploy
deployments                       deploy       apps                           true         Deployment                       [create delete deletecollection get list patch update watch]
uniteddeployments                 ud           apps.kruise.io                 true         UnitedDeployment                 [delete deletecollection get list patch create update watch]

 第三列对应的就为apiGroups的值,此处为apps,所以yaml如下:

[root@k8s-master05 tmp]
最低0.47元/天 解锁文章

200万优质内容无限畅学
k8s集群中Kubernetes仪表板dashboard使用RABC机制限制指定用户针对指定名称空间中的资源进行管理实践...
WeiyiGeek 唯一极客IT知识分享
05-16 541
公众号关注「WeiyiGeek」设为「特别关注」,每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:Dashboard-利用rbac机制限制指定用户针对指定名称空间中的资源进行UI管理原文地址:https://blog.weiyigeek.top/2021/12-1-583.html(2) Dashboard-利用rbac机制限制指定用户针对指定名称空间中...
K8S RBAC
小五
05-07 1376
pods: PodKubernetes 中最小的可部署对象,代表集群中的一个运行中的应用程序实例。services: Service 定义了一组Pod的逻辑集合以及访问这些Pod的策略,通常用于创建应用程序的网络端点。nodes: Node 是 Kubernetes 集群中的一个工作节点,可以是虚拟机或物理机器。namespaces: NamespaceKubernetes 中用于多租户的虚拟集群的一种方式。
k8s 分给某个用户只有指定命名
风.foxwho(神秘狐)
06-10 1700
用户,只有 命名用户名为: 保存为 执行命令 查看是否创建成功 输出 在 test 命名间创建 role 创建角色: 保存为 执行命令 查看是否创建成功 输出 在 test 命名间创建 人员角色关系 rolebinding 保存为 执行命令 查看是否创建成功 输出......
Kuboard 用户限管理
天津托的博客
08-25 1718
kuboard 用户
K8S集群建立只读限帐号
01-18 628
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,包地址在此好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能限访问特定namespace下的pod 命令行kubectl访问 安装cfssl 此工具生成证书非常方便, pem证书与crt证书,编码一致可直接使用 wget https://pkg.cfs...
k8s: RBAC
weixin_50606361的博客
09-07 294
一个k8s集群中可以有不同部门的容器,为了确保数据的安全,各部门的访问限应该受到限制。现在将linux用户与useraccount绑定实现该功能。
KubernetesK8s管理(一):基于角色的访问控制(RBAC
Code · Cloud · Think · Repeat
09-08 1644
基于角色的访问控制(Role-Based Access Control,RBAC),通过为用户赋予不同的角色来控制其访问 Kubernetes 集群资源。它允许用户动态配置不同的角色策略。基于角色的访问控制需要使用 rbac.authorization.k8s.io API 组来执行。
一文搞懂K8s中的RBAC认证授
dsgdauigfs的博客
06-09 1093
| Kubernetes使用 RBAC | KubernetesKubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和操作。在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。
Kubernetes K8SRBAC详解
踏歌行的专栏
12-06 1942
Kubernetes K8S概述与RBAC详解
k8s RBAC限控制
2401_86274572的博客
08-04 1220
使用k8s RBAC限控制
第八篇:k8s基于RBAC的认证、授介绍和实践
Mr.ACO的专栏
12-05 863
第八篇:k8s基于RBAC的认证、授介绍和实践
k8s——(Authorization)
benziwu的博客
12-27 724
RoloBinding 可以将角色中定义的限授予用户用户组,RoleBinding 包含一组限列表(subjects),限列表中包含有不同形式的待授予限资源类型(users, groups, or service accounts);在 RBAC API 中,Role 表示一组规则限,限只会增加(累加限),不存在一个资源一开始就有很多限而通过RBAC 对其进行减少的操作;如果要在 RBAC模型中控制这些子资源的访问限,可以通过 / 分隔符来实现,以下是一个定义 pods 资资源。
K8s 备份与恢复利器:Velero 实战指南
最新发布
.
07-30 866
摘要:本文详细介绍了Kubernetes备份恢复工具Velero的核心原理与实战应用。Velero作为CNCF毕业项目,专为K8s设计,支持集群资源和持久化数据的备份恢复。文章从安装配置(以MinIO为例)入手,通过实战演示了备份、恢复全流程,包括PV/PVC的数据保护。同时介绍了定时备份、加密存储等高级功能,并分享了最佳实践建议,如定期测试恢复、分层存储备份等。最后针对常见问题提供了排查方法,强调Velero是构建K8s数据安全体系的关键工具。
K8S 八 数据存储-高级存储PV PVC 生命周期;配置存储ConfigMap Secret
Lyndon的专栏
07-27 294
K8S 数据存储 PV和PVC
k8s的csi对接GPFS
weixin_42795092的博客
07-27 1037
通过 CSI 将 GPFS 接入 k8s,可让 Pod 直接使用 GPFS 的共享存储,满足高并发、大容量的存储需求,同时利用 k8s 的编排能力实现存储的动态管理。通过 PVC(PersistentVolumeClaim)申请存储,k8s 会基于 StorageClass 自动创建 PV,并绑定到 PVC。(Controller Plugin,部署为 StatefulSet,负责存储分配、PV 管理)和。(Node Plugin,部署为 DaemonSet,负责节点上的存储挂载)。
Kubernetes 中 ConfigMap 与 Secret 的深度解析
2403_86763298的博客
07-30 438
ConfigMap 是 Kubernetes 中用于存储非敏感配置数据的 API 对象,它允许将应用程序的配置信息与容器镜像解耦,实现 “配置即代码” 的管理模式。通过 ConfigMap,开发者可以将配置数据(如应用参数、环境变量、配置文件等)集中管理,避免将配置硬编码到容器镜像或 Pod 定义中,从而提高配置的灵活性和可维护性。Secret 是 Kubernetes 中用于存储敏感配置数据的 API 对象,与 ConfigMap 结构类似,但增加了加密相关的安全特性。
k8s的存储卷
sky学linux的博客
07-27 596
configMapemptyDirhostPathconfigMapsecretnfsglusterfs1.:与 Pod 绑定,Pod 删除时数据销毁。:默认使用节点磁盘,可设置为内存(tmpfs:Pod 内多个容器间共享临时数据,但仅限同一pod。2.用法。
k8s的nodeport和ingress
sky学linux的博客
07-26 257
k8s的几个port
深入了解 Kubernetesk8s):从概念到实践
二十多岁的你迷茫又着急,想要车子,想要房子,想要享受旅行,你那么浮躁,拿什么看透人生!
07-29 923
本文系统介绍了Kubernetes(k8s)的核心技术,包括Pod、Service、Deployment等核心概念,以及k8s的自动化运维、弹性伸缩等优势特性。详细解析了k8s主从架构中的控制平面与节点组件,如kube-apiserver、etcd等关键模块。最后通过一个前后端分离项目实例,展示了从Docker镜像构建到k8s部署的全过程,包括前端React应用和后端Node.js服务的配置与部署。文章全面呈现了k8s作为容器编排标准的强大功能,为开发者提供了实用的技术参考。
解释下k8sRBAC和ABAC
03-12
<think>好的,用户现在想要了解Kubernetes中的RBAC和ABAC,我需要详细解释这两个概念,同时比较它们的区别和应用场景。首先,我需要确保自己理解这两个访问控制机制的基本原理,然后以用户容易理解的方式组织内容。 用户之前问过关于StatefulSet启动顺序的问题,可能对Kubernetes有一定的基础,所以解释时不需要太基础,但也不能太深入。要结构清晰,分点说明,可能还需要对比两者的差异,帮助用户更好地区分。 首先,RBAC是基于角色的访问控制,我应该先介绍它的核心概念,比如Role、ClusterRole、RoleBinding、ClusterRoleBinding,以及它们之间的关系。然后说明RBAC的优点,比如灵活性、细粒度控制,适合云原生环境。 接下来是ABAC,基于属性的访问控制。这里需要解释ABAC的工作原理,强调它使用属性进行策略判断,比如用户属性、资源属性、环境属性等。要提到ABAC的配置文件方式,以及其动态性强的特点,但也要指出在Kubernetes中配置相对复杂,可能不如RBAC常用。 然后需要对比两者的区别,包括策略模型、配置方式、灵活性、维护难度和应用场景。这部分要简明扼要,让用户一目了然。同时给出实际应用中的建议,比如大部分情况使用RBAC,特殊需求考虑ABAC或结合使用。 用户可能想知道在什么时候选择哪种方式,所以应用场景的举例很重要。例如,RBAC适合多团队环境,ABAC适合需要动态策略调整的情况。此外,需要提到Kubernetes官方推荐使用RBAC,而ABAC可能在旧系统中存在,但维护成本高。 最后,要确保语言通俗易懂,避免使用过多术语,必要时举例说明。检查是否有错误,比如ABAC在k8s中的实现是否确实通过静态文件,以及RBAC的资源是否包括API资源等。同时,保持回答结构清晰,分点明确,帮助用户逐步理解。</think>好的,以下是Kubernetes中**RBAC**和**ABAC**的对比解释,分步说明它们的核心区别和适用场景: --- ### 一、RBAC(基于角色的访问控制) #### **核心原理** - **角色驱动**:通过定义角色(Role/ClusterRole)和角色绑定(RoleBinding/ClusterRoleBinding)实现限管理。 ```yaml # 示例:定义一个Role(命名间级别) apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods"] # 控制资源类型 verbs: ["get", "list"] # 允许的操作 ``` ```yaml # 绑定角色到用户/组/ServiceAccount apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: default subjects: - kind: User name: alice apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` #### **特点** 1. **静态限模型**:限与角色绑定,角色再绑定到主体(用户/ServiceAccount)。 2. **细粒度控制**:可精确到命名间内的具体资源操作(如`pods/log`的读取)。 3. **易维护性**:角色可复用,修改角色定义即可影响所有绑定对象。 4. **K8s原生支持**:自Kubernetes 1.6起成为默认机制。 #### **典型场景** - 开发团队需要按命名间隔离限(如`dev-team`只能操作`dev`命名间)。 - 限制CI/CD流水线的ServiceAccount仅能部署应用,不能删除资源。 --- ### 二、ABAC(基于属性的访问控制) #### **核心原理** - **属性驱动**:通过JSON策略文件定义访问规则,基于请求的**属性**动态决策限。 ```json // 示例策略文件(/etc/kubernetes/policies.json) { "apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": { "user": "bob", // 用户属性 "namespace": "production", // 资源属性 "resource": "pods", // 资源类型 "readonly": true // 环境属性(仅允许读) } } ``` #### **特点** 1. **动态策略**:限决策基于请求时的属性组合(用户、资源标签、时间等)。 2. **集中式配置**:所有策略通过单个文件定义,需重启API Server生效。 3. **灵活性高**:可实现复杂条件(如“工作时间禁止删除Pod”)。 4. **维护成本高**:策略文件臃肿后难以管理,容易出错。 #### **典型场景** - 要求根据资源标签动态授(如带有`env=prod`标签的Pod仅允许管理员操作)。 - 实现跨命名间的全局规则(如禁止所有用户删除Node资源)。 --- ### 三、RBAC vs ABAC 关键对比 | **维度** | **RBAC** | **ABAC** | |------------------|---------------------------------------|---------------------------------------| | **策略模型** | 角色-操作绑定 | 属性-条件匹配 | | **配置方式** | 通过K8s资源(YAML)声明 | 通过JSON策略文件静态配置 | | **灵活性** | 适合固定角色场景 | 适合动态、复杂条件场景 | | **维护难度** | 易维护(K8s原生资源) | 难维护(需手动编辑策略文件) | | **性能影响** | 低(预定义角色) | 高(实时属性解析) | | **K8s版本支持** | 1.6+(推荐方式) | 所有版本(但逐渐被淘汰) | --- ### 四、实际应用建议 1. **优先选择RBAC**: - 90%的场景可通过RBAC满足需求。 - 与K8s生态工具(如Dashboard、ArgoCD)兼容性更好。 2. **ABAC仅用于特殊需求**: - 需要基于资源标签、时间等动态属性控制限时。 - 注意:Kubernetes官方已不再积极发展ABAC。 3. **混合使用**(谨慎): - 可通过同时启用RBAC和ABAC,但规则可能冲突需严格测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半生痴狂半生颠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值