AKS集成RBAC与AAD

最新推荐文章于 2025-08-10 15:28:52 发布
最新推荐文章于 2025-08-10 15:28:52 发布
阅读量345 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: AKS 文章标签: kubernetes azure
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_29700227/article/details/129129726
该文章介绍了如何使用VSCode和AzureCLI在Kubernetes(K8s)集群上,特别是AzureKubernetesService(AKS)中设置和管理RBAC规则。通过Role和RoleBinding的yaml文件定义用户权限,如读取Pods,然后更新AKS以启用与AzureAD的集成,确保资源访问的安全控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

3种模式:

  • K8s自己的rbac
  • Azure上的RBAC
  • Azure上的rbac K8s的RBAC与AAD的集成

VSCode实现:
需要:Azure CLI+Rolebinding.yaml+Role.yaml:
注意terminal要切换到Azure cloud shell下。
rbac-aks-aad.azcli:

az aks get-credentials --resource-group Daisyaks --name Daisyaks --admin

kubectl apply -f role.yaml

kubectl get roles

kubectl apply -f role-binding.yaml

kubectl get rolebindings

kubectl get nodes

kubectl get pods

在现有的集群上启用AKS托管的Azure AD集成

az aks update -g Daisyaks -n Daisyaks --enable-aad --aad-admin-group-object-ids 42de7d80-3209-494d-9c7f-1f15c86b8829 --aad-tenant-id 4f165557-1ad2-4f81-953c-cbc3ca9781ed

Rolebinding.yaml:

kind: RoleBinding

apiVersion: rbac.authorization.k8s.io/v1

metadata:

    name: read-pods

    namespace: default #optional

subjects:

  - kind: User

    name: "5a2f5744-e520-4d9d-a70e-c281441bd468"

    apiGroup: rbac.authorization.k8s.io/v1

roleRef:

  apiGroup: Role

  kind: pod-reader

  name: rbac.authorization.k8s.io/v1

Role.yaml:

kind: Role

apiVersion: rbac.authorization.k8s.io/v1

metadata:

    name: read-pods

    namespace: default #optional

rules:

- apiGroups: [""] #the core api group

  resources: ["pods"]

  verbs: ["get", "watch", "list"]

在这里插入图片描述

结果展示:

在这里插入图片描述

10、 设置Kubernetes集群并部署应用到Azure Kubernetes Service (AKS)
weixin_42522857的博客
06-06 37
本文详细介绍了如何在Azure Kubernetes Service (AKS)上创建和管理Kubernetes集群,包括使用Azure Portal、Azure CLI和ARM模板创建集群,部署单容器和多容器应用程序,使用Bridge to Kubernetes进行调试,以及通过Azure Monitor和Log Analytics Workspace监控和管理集群。帮助开发者更好地掌握在Azure环境中管理和部署容器化应用程序的技术和方法。
Blazor Wasm 集成国内版Azure Active Directory(AAD)
千金少的博客
02-19 510
1.什么是Azure Active Directory? https://docs.microsoft.com/zh-cn/azure/active-directory/fundamentals/active-directory-whatis 说白了就是微软自己的一套权限管理系统 在操作之前先注册个Azure账户并且按照下面的流程创建一个AAD的服务https://docs.microsoft.com/zh-cn/azure/active-directory/develop/quickstart-.
Azure 应用服务】NodeJS Express + MSAL 应用实现AAD集成登录并部署在App Service Linux环境中的实现步骤
「 虚幻私塾」
06-08 488
实现部署NodeJS Express应用在App Service Linux环境中,并且使用Microsoft Authentication Library(MSAL)来实现登录Azure AD用户,获取Token及用户信息的实现。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VsybCiG3-1654621841960)(https://img2022.cnblogs.com/blog/2127802/202206/2127802-20220607191732849-14
AAD ADFS 3.0
张峰的博客
02-21 839
Currently AAD (Identity Provider and Authorization Server) supports the following identity standards: OpenId Connect OAuth2 SAML-P WS-Federation and WS-Trust Graph web api ADFS 3.0 (Identity Prov...
【K8S】使用 Azure 门户部署 Azure Kubernetes 服务 (AKS) 群集
宝耶需努力的技术分享博客
06-02 2311
Azure Kubernetes 服务 (AKS) 是可用于快速部署和管理群集的托管式 Kubernetes 服务。
ASP.NET Core 集成AAD认证在Docker中运行时要注意的一个问题
dotNET跨平台
05-26 478
最近我在准备一个分享,就是基于.NET 6.0的云原生开发Microsoft 365应用,这个看起来很高大上的东东,其实我理解主要就是能把应用容器化,便于环境无关地进行分发和部署。如果理解有误,请大家纠正我。下面是其中的一个例子,请大家有空参考。分享会在5/6日的晚上,这是.NET 二十周年的一个活动,直播形式。具体请留意后续通知。https://github.com/...
此示例显示了如何在虚拟网络中Jumpbox虚拟机一起创建私有AKS群集。-Linux开发
05-27
该ARM模板包括所有最新功能,例如私有AKS群集,新的简化的AKS托管AAD集成,用于Kubernetes授权的全新Azure RBAC(实际上处于预览状态)以及使用托管身份代替服务主体等。 服务作者aks,app服务,azure监视器,存储,...
创建私有AKS群集Jumpbox VM的详细指南
文章首先介绍了ARM模板的相关功能,然后强调了使用最新技术的优势,包括私有AKS集群的部署、AKS托管的Azure Active Directory (AAD)集成简化过程、Azure Kubernetes Service Role-Based Access Control (RBAC)的引入...
安全的AKS-refarch
02-18
1. **创建AKS集群**:使用Azure CLI或Azure Portal创建一个带有AAD集成AKS集群,启用RBAC。 2. **配置RBAC**:定义自定义角色和角色绑定,根据团队需求分配资源访问权限。 3. **应用网络策略**:编写和应用...
AKS ADMIN权限
01-10
Azure Kubernetes Service (AKS) 中,管理员权限主要通过 Azure Active Directory (AAD) 和 Kubernetes Role-Based Access Control (RBAC) 来实现。这使得可以精细控制谁能够访问集群并执行特定操作。 #### 使用...
Azure是如何整合springboot?(代码分析)
weixin_45428910的博客
01-10 804
Azure是如何整合springboot?(代码分析)
部署ADFS高可用环境并集成Office365之AAD部署安装(一)
weixin_34415923的博客
05-07 872
此文档为本地AD用户通过目录同步同步到Office 365,通过ADFS服务器把Office365身份验证拉回到本地AD进行验证,目的为不让用户通过Office 365修改密码,本地密码不同步到office 365以确保环境安全性(AAD安装时由于未配置ADFS所以启用了密码同步)。1 主机名和IP地址角色主机名AADAAD011 部署AAD服...
Azure Active Directory B2C-(2) 体验使用AAD B2C集成的 OAuth2.0 和OpenID Connect 能力保护Web APP(asp.net)
yushuzhen2008的博客
04-12 1085
本文参照微软如下官方文档,且均使用ASP.NET作为示例代码,主要是演示AAD B2C对WEB APP的保护流程,给大家一个直观的感受,在后续的内容章节中,我们会介绍其他语言如何通过AAD B2C 进行保护。 1.使用 Azure Active Directory B2C 在 Web 应用程序中启用身份验证 https://docs.azure.cn/zh-cn/active-director...
K8S周期性备份etcd数据实战案例
.
08-01 1923
本文介绍了Kubernetes集群中etcd数据周期性自动备份方案。etcd存储集群所有关键数据,一旦损坏可能导致集群瘫痪。方案利用K8S的CronJob调度etcdctl工具执行备份,通过NFS共享存储持久化备份文件和证书。主要内容包括: 在NFS服务器创建证书和备份目录 编写PVC清单挂载NFS存储 构建包含etcdctl工具的Docker镜像 配置CronJob定时执行备份任务 详细说明数据恢复步骤,包括验证备份文件、停止控制平面、执行恢复操作等 该方案实现了etcd数据的自动化备份,确保K8S集群在
三、k8s 1.29 之 安装1网络 / ikuai路由器虚拟机安装
最新发布
2303_80246058的博客
08-10 653
Kubernetes集群部署方案有两种:kubeadm容器化安装(简单但掩盖细节,推荐1主2从配置,主节点需2核4G内存100G磁盘)和二进制系统进程安装(灵活但复杂)。网络配置使用iKuai路由器,通过虚拟机部署(1核1G,IDE磁盘),设置双网卡(内网绑定静态IP,外网NAT模式)。节点需配置静态IP、网关和DNS,并确保网络插件正常运行。整体部署需注意硬件配置和网络设置规范。
kubeadm-k8s 中的 etcd 备份恢复
2302_78308374的博客
08-06 267
从容器中把 etcdctl 工具复制出来到主机中的/usr/local/bin目录下。从容器中把etcdctl工具复制出来到主机中的/usr/local/bin目录下。以上为kubeadm下进行etcd数据备份恢复。三台master上都需要操作。
简单介绍cgroups以及在K8s中的应用
weixin_45750967的博客
08-06 381
cgroups(control groups,控制组群) 是 Linux 内核的一个功能,用来限制、控制分离一个进程组的资源(如CPU、内存、磁盘输入输出等)。cgroups(control groups,控制组群) 是 Linux 内核的一个功能,用来限制、控制分离一个进程组的资源(如CPU、内存、磁盘输入输出等)。1)资源限制:cgroups可以对进程组使用的资源总额进行限制。cgroups可以限制、记录、隔离进程组所使用的物理资源(包括:CPU、memory、IO等),为。
K8S、Docker安全漏洞靶场
墨痕诉清风的博客
08-06 112
一个脆弱基础设施自动化构建框架,主要用于快速、自动化搭建从简单到复杂的脆弱云原生靶机环境。
Kubernetes部署篇:基于x86_64+aarch64架构CPU+containerd一键离线部署容器版K8S1.33.3高可用集群》
东城绝神
08-07 920
Kubernetes部署篇:基于x86_64+aarch64架构CPU+containerd一键离线部署容器版K8S1.33.3高可用集群》
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值