k8s的rbac授权操作

最新推荐文章于 2025-06-09 15:54:12 发布
最新推荐文章于 2025-06-09 15:54:12 发布
阅读量515 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Devops工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/myz_lemon/article/details/112591224
博客围绕K8s的RBAC操作展开,但具体操作内容未给出。RBAC是K8s中重要的权限管理机制,对其进行操作可实现对集群资源访问的精细控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

只说操作不来理论哈
rbac是以插件形式串运行

Role        ---> RoleBinding  //作用于用户空间
ClusterRole ---> ClusterRoleBinding   //使用于集群级别

--创建私钥及证书--
openssl genrsa -out kuber1.key 2048
openssl  req -new -key kube-user1.key -out kube-user1.csr -subj "/CN=kube-user1/O=kubernetes"
openssl x509 -req -in kube-user1.csr -CA /opt/kubernetes/ssl/ca.pem  -CAkey /opt/kubernetes/ssl/ca-key.pem -CAcreateserial  -out kube-user1.crt -days 3650
kubectl config set-cluster mk8s --embed-certs=true --certificate-authority=/opt/kubernetes/ssl/ca.pem --server="https://192.168.0.81:6443"
kubectl  config set-credentials kube-user1 --embed-certs=true --client-certificate=/root/k8s_config/kube-user1.crt --client-key=/root/k8s_config/kube-user1.key
kubectl  config set-context kube-user1@mk8s --cluster=mk8s --user=kube-user1



kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: testing #所属名称空间
  name: my-pod
rules:
  - apiGroups: [""] #表示 core API group
    resources: ["pods","pods/log","services"] #可以访问的资源类型
    verbs: ["get","list","watch"]     #get,list,create,update,watch,proxy,redirect,delete and deletecollection

---
#rolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-reader
  namespace: testing
subjects:
  - kind: User #要引用的资源对象(主体)所属的类型,可用值为"User","Group""ServiceAcount"
    name: kube-user1 #引用主体的名称
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role #引用的资源所属的类别,可以用值为Role或ClusterRole,必选
  name: my-pod  # 引用的资源名称
  apiGroup: rbac.authorization.k8s.io #引用资源(Role或ClusterRole)所属的API群组,必选



kubectl  config use-context kube-user1@mk8s
Switched to context "kube-user1@mk8s".

kubectl  config get-contexts
CURRENT   NAME                     CLUSTER      AUTHINFO      NAMESPACE
          default                  default      admin
*         kube-user1@mk8s          mk8s         kube-user1
          lemon-admin@kubernetes   kubernetes   lemon-admin
          lemon@kubernetes         kubernetes   lemon

kubectl  get pods
Error from server (Forbidden): pods is forbidden: User "kube-user1" cannot list resource "pods" in API group "" in the namespace "default"

kubectl  get pod -n testing
No resources found in testing namespace.


kubectl  get service
Error from server (Forbidden): services is forbidden: User "kube-user1" cannot list resource "services" in API group "" in the namespace "default"

kubectl  config use-context default
Switched to context "default".

#增加service资源
resources: ["pods","pods/log","service"]

kubectl apply -f role.yaml

kubectl  config use-context kube-user1@mk8s
Switched to context "kube-user1@mk8s".

Error from server (Forbidden): services is forbidden: User "kube-user1" cannot list resource "services" in API group "" in the namespace "testing": RBAC: role.rbac.authorization.k8s.io "services-admin" not found

kubectl  config use-context default
Switched to context "default".


kubectl create rolebinding lemon-admin-service --role=services-admin --user=kube-user1 -n testing
rolebinding.rbac.authorization.k8s.io/lemon-admin-service created



----------------------------------------------------------------------------------------
ClusterRole和ClusterRolebinding
 集群级别的角色资源和ClusterRole资源消除了能够管理与Role资源一样的许可权限之外,还可以用于集群组件的授权,配置方式及其在rule字段
 中可以嵌套也与Role资源类似。


#ClusterRole是集群级别不需要使用metadata.namespace字段
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: my-node-reader
rules:
  - apiGroups: [""]
    resources: ["nodes"]
    verbs: ["get","watch","list"]


---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: my-healthz-admin
rule:
  - nonResourceURLs:
    - /heatlhz
    verbs:
      - get
      - create

---

##聚合类型ClusterRole

---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: my-monitoring
aggregationRule:
  clusterRoleSelectors:
    - matchLabels:
        rbac.example.com/aggregate-to-monitoring: "true"
rules: []


---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: my-monitoring-endpoints
  lables:
    rbac.example.com/aggregate-to-monitring: "true"
# These rules will be added to the "monitroing  role
rules:
  - apiGroups: [""]
    resources: ["services","endpoints","pods"]
    verbs: ["get","list","watch"]



------------------------------------------------------------------------------------------------
面向用户内的内建ClusterRole
API Server内建立了一组默认的ClusterRole和ClusterRoleBinding以预留系统使用,其中大多数都以"system:"为前缘,另外一些
还有一些非以"system:"为前缘的默认的role资源,它们总是为面向用户的需求而设计的,包括超级用户角色(cluster-admin)用于授权收集
集群级别的权限的ClusterRoleBinding(Cluster-status)以授予特定的名称空间级别权限的RoleBinding(admin,edit,view).
[cluster-admin,cluster-status,admin,edit,view]

内建的ClusterRole资源cluster-admin拥有管理集群所有资源的权限,它基于同名的ClusterRoleBinding资源绑定到了"system:masters"
组上,这意味着所有隶属于此组的用户都将具有集群的超级管理管理权限。
/O=system:master/CN=kubernetes-admin

CluserRoeBindind用RoleBinding用法
kubectl create deployment my-dep --image=busybox -n testing
Error from server (Forbidden): deployments.apps is forbidden: User "kube-user1" cannot create resource "deployments" in API group "apps" in the namespace "testing": RBAC: role.rbac.authorization.k8s.io "services-admin" not found



#加入管理员群组(集群级别的权限)
kubectl create rolebinding dev-admin --clusterrole=cluster-admin --user=kube-user1 -n testing
rolebinding.rbac.authorization.k8s.io/dev-admin created
kubectl create deployment my-dep --image=busybox -n testing
deployment.apps/my-dep created



###ClusterRole 和ClusterRoleBinding实战:

openssl genrsa -out kube-user2.key 2048
openssl  req -new -key kube-user2.key -out kube-user2.csr -subj "/CN=kube-user2/O=lk8s"
openssl x509 -req -in kube-user2.csr -CA /opt/kubernetes/ssl/ca.pem  -CAkey /opt/kubernetes/ssl/ca-key.pem -CAcreateserial  -out kube-user2.crt -days 3650
kubectl config set-cluster lk8s --embed-certs=true --certificate-authority=/opt/kubernetes/ssl/ca.pem --server="https://192.168.0.81:6443"
kubectl  config set-credentials kube-user2 --embed-certs=true --client-certificate=/root/k8s_config2/kube-user2.crt --client-key=/root/k8s_config2/kube-user2.key
kubectl  config set-context kube-user2@lk8s --cluster=lk8s --user=kube-user2



openssl genrsa -out kube-mfz.key 2048
openssl  req -new -key kube-mfz.key -out kube-mfz.csr -subj "/CN=kube-mfz/O=mfzlk8s"
openssl x509 -req -in kube-mfz.csr -CA /opt/kubernetes/ssl/ca.pem  -CAkey /opt/kubernetes/ssl/ca-key.pem -CAcreateserial  -out kube-mfz.crt -days 3650
kubectl config set-cluster mfzlk8s --embed-certs=true --certificate-authority=/opt/kubernetes/ssl/ca.pem --server="https://192.168.0.81:6443"
kubectl  config set-credentials kube-mfz --embed-certs=true --client-certificate=/root/k8s_config2/kube-mfz.crt --client-key=/root/k8s_config2/kube-mfz.key
kubectl  config set-context kube-mfz@mfzlk8s --cluster=mfzlk8s --user=kube-mfz


kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: cluster-mfz-role
rules:
  - apiGroups: [""]
    resources: ["pods","deployments"]
    verbs: ["get","watch","list","create","delete"]



apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluser-mfz-clusterrolebinding
subjects:
  - kind: User
    name: kube-mfz
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-mfz-role
  apiGroup: rbac.authorization.k8s.io


kubectl  get deployments
Error from server (Forbidden): deployments.apps is forbidden: User "kube-mfz" cannot list resource "deployments" in API group "apps" in the namespace "default"

#加入具有deployments权限的组里
kubectl create clusterrolebinding mfz-admin --clusterrole=system:controller:deployment-controller --user=kube-mfz
clusterrolebinding.rbac.authorization.k8s.io/mfz-admin created


#测试访问
kubectl  get deployments
NAME                     READY   UP-TO-DATE   AVAILABLE   AGE
db                       2/2     2            2           15d
memched-operator         1/1     1            1           11d
nfs-client-provisioner   1/1     1            1           65d
school-operator          1/1     1            1           35h
student                  15/15   15           15          35h
k8s集群访问控制之RBAC授权
weixin_43273856的博客
05-27 55
每个名称空间下,user都通过rolebinding绑定role,定义一个ClusterRole拥有集群级别的操作权限,通过ClusterRolebinding与user绑定,该用户user就有了集群级别的操作权限。这两个都是集群角色的管理员,那么当集群中有多个名称空间的时候,就不需要手动去创建管理员角色,直接可以使用admin的角色机型rolebinding,这样省去了很多重复工作。所以说,之后的所有的操作许可,都是直接授权给角色(Role),而不是直接授权给用户。来绑定的,突破不来名称空间。
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2767
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1720
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
Kubernetes之RBAC授权控制
weixin_43297299的博客
05-26 760
01、前言 众所周知,kubernetes API是kubernetes的核心组件,kubernetes API以REST接口的形式将Pods、Service、Deployment等信息定义为资源,而这些资源我们又是怎样操作它们的呢?在kubernetes 1.6之后社区逐渐使用RBAC的认证模式,下面将会详细介绍这种认证模式。 02、kubernetes的认证机制   1)如何访问kubernetes API 使用者可以通过kubectl客户端、各个代码语言的客户端库程序或者通过发送REST请求来
一文搞懂K8s中的RBAC认证授权
最新发布
dsgdauigfs的博客
06-09 1043
鉴权 | Kubernetes使用 RBAC 鉴权 | KubernetesKubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。
Kubernetes(k8s)权限管理RBAC
驰兔的博客
03-13 1119
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
k8s 基于RBAC授权
qq_15138049的博客
07-02 445
k8s rabc
kubernetes系列之《k8s基于RBAC授权
西西工作室
04-02 1065
一、RBAC介绍 基于角色的访问控制(Role-Based Access Control,即“RBAC”)使用“rbac.authorization.k8s.io” Apo Group实现授权决策,允许管理员通过Kubernetes Api动态配置策略。 要启用RBAC,请使用 --authorization-mode=RBAC启动API Server。 在RABC API中,通过如下的步骤进行授...
k8s RBAC授权普通系统用户对namespace访问权限
疯飙的蜗牛
08-11 1117
背景:最近遇到一个问题,那就是需要给别人共享一下 Kubernetes 的某个资源的使用和访问权限,这个仅仅存在于某个 namespace 下,但是我又不能把管理员权限全都给它,我想只给他授予这一个 Namespace 下的权限,那应该怎么办呢?比如我这边是需要只想授予 ads这个用户 对 data 这个 Namespace 的权限,这里我就需要利用到 Kubernetes 里面的 RBAC 机制来实现了,下面记录了我的操作流程。四、导出 ads文件的config配置文件。一、创建ads用户的key。
k8s RBAC权限控制
2401_86274572的博客
08-04 1201
使用k8s RBAC权限控制
第八篇:k8s基于RBAC的认证、授权介绍和实践
Mr.ACO的专栏
12-05 856
第八篇:k8s基于RBAC的认证、授权介绍和实践
k8sRBAC使用
crontab_e的博客
11-12 836
知道了ssl原理,https请求过程,我们就了解了,ssl的安全机制;实际上k8s当中“根证书”早就生成好了,在我们kubeadm部署的时候,就自动帮我们生成了;k8s是模拟ca机构,给自己颁发证书,自己验证自己,所以,整数中有私钥、公钥等;total 56#根证书#ca机构的私钥。
k8s rbac
SHELLCODE_8BIT的博客
03-10 2014
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
k8s-RBAC
kxq的博客
12-22 672
一、认证 1.进入到证书目录 cd /etc/kubernetes/pki/ 2.创建kxq用户的私钥 (umask 077; openssl genrsa -out kxq.key 2048 ) 3.创建kxq用户的证书 openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq" 4.利用ca.crt,ca.key进行签证 [root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.cr
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1162
K8s上的RBAC设计和实现方式说明
k8s:RBAC
m0_50434960的博客
03-12 562
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
K8sRBAC模型
s1056481432的博客
03-16 287
RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群中的身份有两种:用户(User)和服务账号(Service Account),其中service account是k8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa中的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。
k8s基础11——安全控制之RBAC用户授权RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 2207
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权
k8s系列】RBAC
yunqi1215的博客
04-10 98
rbac
k8s rbac用户授权逻辑
02-13
### Kubernetes RBAC 用户授权机制 #### 角色定义 在Kubernetes中,RBAC(基于角色的访问控制)用于管理谁可以做什么以及在哪里做。一个角色是一组权限规则的集合[^5]。这些权限以累加的方式组合在一起,并不存在否定规则。 对于特定命名空间内的资源,权限可以通过`Role`对象来定义;而对于跨所有命名空间或集群级别的资源,则使用`ClusterRole`对象。 #### 绑定用户与角色 为了使普通用户获得对集群内资源的操作能力,必须先将其绑定至适当的角色上。这通常通过创建`RoleBinding`或`ClusterRoleBinding`资源完成。前者适用于单个命名空间范围内的角色分配,后者则是针对全局性的`ClusterRole`进行绑定[^3]。 例如,要授予某位开发者对其开发环境所在命名空间下的Pods完全读写权限: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: development name: pod-editor rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list", "create", "update", "patch", "delete"] --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: developer-pod-access namespace: development subjects: - kind: User name: "developer@example.com" roleRef: kind: Role name: pod-editor apiGroup: rbac.authorization.k8s.io ``` 这段配置首先定义了一个名为`pod-editor`的角色,它允许执行一系列关于Pod的操作。接着,通过`RoleBinding`将这个角色赋予给指定邮箱地址对应的用户,在此案例中即为`developer@example.com`。 #### 特殊角色 值得注意的是存在一些预设好的特殊角色,比如`cluster-admin`,该角色拥有几乎不受限制的最大化权限(`verbs=*`),可用于管理和维护整个Kubernetes集群[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值