K8S RBAC 鉴权

最新推荐文章于 2025-08-02 19:38:34 发布
原创 最新推荐文章于 2025-08-02 19:38:34 发布 · 1.4k 阅读 · 32 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

介绍

K8S(Kubernetes)的RBAC(Role-Based Access Control,基于角色的访问控制)是一种权限控制机制,它允许管理员通过定义角色来限制用户对集群资源的访问权限。RBAC是Kubernetes中一个核心的授权策略,通过它,管理员可以实施精细化的权限管理,确保只有经过授权的用户或用户组才能执行特定的操作。

RBAC在Kubernetes中主要由四个关键组件构成:Role、ClusterRole、RoleBinding和ClusterRoleBinding。

  • Role:用于定义对命名空间内资源的访问权限。Role只能用于授予对某个特定命名空间中资源的访问权限。
  • ClusterRole:与Role类似,但用于定义对集群范围内资源的访问权限。ClusterRole可以授予对集群中所有命名空间的资源或非资源端点的访问权限。
  • RoleBinding:用于将Role绑定到一个或多个用户、服务账户或用户组,从而控制这些实体对命名空间内资源的访问。
  • ClusterRoleBinding:用于将ClusterRole绑定到一个或多个用户、服务账户或用户组,控制这些实体对集群范围内资源的访问。

使用RBAC时,管理员可以定义角色,并为这些角色分配适当的权限。然后,通过RoleBinding或ClusterRoleBinding将角色绑定到特定的用户或用户组。这样,用户只能执行其角色所允许的操作,而无法访问或修改未授权的资源。

Role 和 ClusterRole

Role 举例

下面是一个位于 “default” 名字空间的 Role 的示例,可用来授予对 Pod 的读访问权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

字段解释

  • apiVersion 指定了 Kubernetes API 的版本,这里是 rbac.authorization.k8s.io/v1,表示使用了 Kubernetes 的 RBAC API 版本
  • kind 指定了 Kubernetes 资源的类型,这里是 Role,表示定义了一个角色。
  • rules 指定了角色的权限规则。
  • apiGroups 指定了 API 组,这里是 [“”],表示核心 API 组。
  • resources 指定了资源类型,这里是 [“pods”],表示 Pods 资源。
  • verbs 指定了允许的操作,这里是 [“get”, “watch”, “list”],表示允许执行 get、watch 和 list 操作。

apiGroups 介绍

核心 API 组:

  • pods: Pod 是 Kubernetes 中最小的可部署对象,代表集群中的一个运行中的应用程序实例。
  • services: Service 定义了一组Pod的逻辑集合以及访问这些Pod的策略,通常用于创建应用程序的网络端点。
  • nodes: Node 是 Kubernetes 集群中的一个工作节点,可以是虚拟机或物理机器。
  • namespaces: Namespace 是 Kubernetes 中用于多租户的虚拟集群的一种方式。它允许将 Kubernetes 集群划分为多个虚拟集群,以便在同一集群中运行多个团队或用户的应用程序。
  • persistentvolumes: PersistentVolume(PV)是 Kubernetes 中的一种 API 对象,它抽象了存储系统,为用户提供了一种将存储挂载到 Pod 中的方式。
  • persistentvolumeclaims: PersistentVolumeClaim(PVC)是 Kubernetes 中的一种 API 对象,它是 Pod 中对存储资源的一种请求。

describe 查看

[root@master01 yaml]# kubectl describe role pod-reader 
Name:         pod-reader
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  pods       []                 []              [get watch list]

apiGroups 组查看

kubectl api-resources --verbs list

列举几种用法

在 RBAC 角色表达子资源时,使用斜线(/)来分隔资源和子资源。 要允许某主体读取 pods 同时访问这些 Pod 的 log 子资源,可以这样写:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-and-pod-logs-reader
rules:
最低0.47元/天 解锁文章
K8s—使用 RBAC
Yuanshigou9的博客
12-30 942
K8s:Role、ClusterRole、RoleBinding、ClusterRoleBinding
k8s: RBAC
weixin_50606361的博客
09-07 329
一个k8s集群中可以有不同部门的容器,为了确保数据的安全,各部门的访问权限应该受到限制。现在将linux用户与useraccount绑定实现该功能。
第12章 K8s进阶篇-细粒度权限控制
dluhehe的博客
12-17 581
K8s进阶篇-细粒度权限控制,包括:RBACRBAC企业实战等内容。帮助大家更好做好权限管理。
k8s--普通k8s集群---使用rolebinding限制或增加访问命名空间以及可执行操作权限
直到世界的尽头
11-13 1万+
权限控制原理 RBAC——基于角色的访问控制 基于角色的访问控制(Role-Based Access Control, 即”RBAC”) k8s使用”rbac.authorization.k8s.io” API Group实现授决策,允许管理员通过Kubernetes API动态配置策略。 也就是说 每个k8s用户调用k8s的api时,都会经过一层角色的权限校验,比如 我当前的用户或者 服务账户(serviceaccount)关联的是哪一个角色,就拥有这一个角色的访问权限。 基于这样的原理,k8s可以很灵
k8s (十七) --- kubernetes访问控制
qq_35887546的博客
05-08 750
一、kubernetes访问控制原理 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(User...
【2023】Kubernetes-RBAC简单使用
皮皮的博客
03-24 951
RBAC简单使用
k8s实战之资源和命令
12-17
介绍主要的k8s资源的使用配置和命令。包括configmap,pod,service,replicaset,namespace,deployment,daemonset,ingress,pv,pvc,sc,role,rolebinding,clusterroleclusterrolebinding,secret,serviceaccount,statefulset,job,cronjob,podDisruptionbudget,podSecurityPolicy,networkPolicy,resourceQuota,limitrange,endpoint,event,conponentstatus,node,apiservice,controllerRevision等。
k8s使用 RBAC
qq_36972930的博客
08-02 1078
基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。RBAC 机制使用 rbac.authorization.k8s.io API 组来驱动决定, 允许你通过 Kubernetes API 动态配置策略。要启用 RBAC,在启动 API 服务器时将 --authorization-mode 参数设置为一个逗号分隔的列表并确保其中包含 RBAC
k8s中的RBAC将用户固定在某个namespace下
半生痴狂半生颠的博客
08-22 320
PS:若不了解各自resoureces对应的apiGroup可用kubectl api-resources -o wide 查询对应关系。PS:此处在固定的ns下绑定权限,未涉及到整个集群全局权限,所以用Rolebinding即可。允许用户zhangsan只访问b2b-pro-uat的ns下的pod,以及deploy。登录dashboard验证,因为没有赋予namespace相关权限,所以此处需要。此处未涉及到命令行,仅用k8s原生dashboard进行测试。将role和sa绑定。三、创建对应的Role。
kubernetesk8s)之rbac权限管理详解
qq_44823950的博客
08-14 2510
kubernetesk8s)之rabc权限
k8s系列(十四:实例)RBAC :1、rolebinding 2、role 3、clusterbinding 4、clusterrole 12、14、 34、
xopqaaa的博客
01-15 2157
基于插件实现有以下插件: Node:基于节点 ABAC:基于属性的访问控制 RBAC:Role-based基于角色(角色是授的主体) webhook:基于http的回调机制 角色(role) 资源:1、Objects 2、Object list 3、虚拟的URL或对象 许可(permission):在...
Kubernetes角色访问控制RBAC权限规则(Role+ClusterRole)---好文
BigData_Mining的博客
03-27 1万+
基于角色的访问控制(Role-Based Access Control, 即”RBAC”)使用”rbac.authorization.k8s.io” API Group实现授决策,允许管理员通过Kubernetes API动态配置策略。 RBAC API所定义的四种类型 Role与ClusterRoleRBAC API中,一个角色定义了一组特定权限的规则。namespace范围内的角色由Ro...
k8s之聚合ClusterRole
jiayu的博客
10-14 1992
k8s之聚合ClusterRole [root@k8s-master-1 kubectl]# cat aggregation.yaml # 创建一个聚合ClusterRole apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: aggregation-selector aggregationRule: clusterRoleSelectors: - matchLabels: rbac.
[kubernetes]-kubernetes创建多namespace权限的kubeconfig
爷来辣的博客
07-31 2155
#1. 创建集群级别的角色 ClusterRole # clusterrole.yaml 提供基本权限 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: cr-hz rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list", "watch", "create", "update", "patch", "dele
k8s权限配置(ServiceAccount、Role、ClusterRole
热门推荐
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
Kubernetes Role & ClusterRole
叶康铭的博客
02-27 1万+
什么是RBAC RBAC全称Role-Based Access Control,是Kubernetes集群基于角色的访问控制,实现授决策,允许通过Kubernetes API动态配置策略。 什么是Role Role是一组权限的集合,例如Role可以包含列出Pod权限及列出Deployment权限,Role用于给某个NameSpace中的资源进行。 通过YAML资源定义清单创建Role kub...
验证clusterrole是否能限制只访问某个namespace下资源
weixin_34407348的博客
04-19 1173
yaml --- apiVersion: v1 kind: ServiceAccount imagePullSecrets: - name: default metadata: labels: sub_sys_code: "NTS-TIO-ELK" le: "NTS-TIO-ELK-AIO-APP-LOGSTASH" k8s-app: fluentd na...
k8s实践6:从解决报错开始入门RBAC
weixin_34368949的博客
03-18 2367
1.在k8s集群使用过程中,总是遇到各种rbac权限问题.记录了几个报错,见下: 报错1: "message": "pods is forbidden: User \"kubernetes\" cannot list resource \"pods\" in API group \"\" at the cluster scope" "message": "pservices is forbid...
Kubernetes K8SRBAC详解
weixin_45032957的博客
12-16 825
RBAC API类型 RBAC API 所声明的四种顶级类型【Role、ClusterRole、RoleBinding 和 ClusterRoleBinding】。用户可以像与其他 API 资源交互一样,(通过 kubectl API 调用等方式)与这些资源交互。 Role 和 ClusterRoleRBAC API 中,一个角色包含一组相关权限的规则。权限是纯粹累加的(不存在拒绝某操作的规则),即只能给权限累加,不存在给了XX权限,然后去掉XX01权限的情况。角色可以用 Role 来定义到某个命名空
k8s认证和
最新发布
10-31
<think>嗯,用户让我了解Kubernetes的认证和原理和方法。首先,我需要回顾之前提供的几个引用内容。引用[1]提到sa.key和sa.pub这对密钥用于Service Account,kube-controller-manager使用私钥签名token,而master节点用公钥验证。这里涉及的是Service Account的认证机制,特别是Pod如何通过token与API Server交互。 引用[2]是一系列K8s面试题,其中提到了RBAC、Secret的使用、PodSecurityPolicy等安全机制。虽然问题列表较多,但重点是RBAC和准入控制部分,这些都属于的范畴。引用[3]提到所有操作都通过Kubernetes API,由API Server处理,这说明了认证和发生的环节。引用[4]可能包含深入原理,但链接无法访问,所以只能参考其他引用。 接下来需要整合这些信息。K8s的认证发生在API Server层,用户或Pod的请求需要先通过认证,然后。认证的方式可能有多种,比如客户端证书、Bearer Token(Service Account用的就是这种)、基本认证等。引用[1]详细说明了Service Account的流程:Pod挂载token,用sa.pub验证签名。这部分属于认证阶段。 然后是部分,引用[2]中提到的RBAC(基于角色的访问控制)应该是重点。RBAC通过Role和ClusterRole定义权限,再绑定到Subject(用户、组或Service Account)。此外,可能还有ABAC等其他机制,但RBAC是现在更常用的。另外,准入控制(Admission Control)在之后,用来修改或验证请求,比如PodSecurityPolicy(虽然在新版本中被弃用,但原理类似)。 还需考虑流程顺序:请求先认证身份,再检查是否有权限),最后通过准入控制器处理。例如,kube-proxy作为Pod运行时,使用Service Account的token认证,然后RBAC检查其是否有权限访问特定资源。 用户可能想知道整个流程如何串联,以及不同组件的作用。比如API Server如何处理请求,Controller Manager的角色,还有Service Account的生成过程(由API Server自动创建并挂载到Pod)。另外,Secret的作用在引用[2]中提到,用于保存敏感信息,如token或证书,这与Service Account有关联。 可能需要补充认证方式的多样性,比如X.509客户端证书、静态token文件等,但Service Account是集群内Pod的主要方式。部分除了RBAC,还应简要提及其他机制如Node,用于节点相关的权限管理。 最后,整体结构应分认证、、准入控制三部分,每个部分详细说明机制和例子。确保引用正确,比如引用[1]解释Service Account,引用[2]和[3]支持API Server的中心作用及RBAC的重要性。同时注意用户的问题可能涉及实际应用,如如何配置RBAC规则,或排查权限问题,但当前问题集中在原理,所以保持理论层面即可。 </think>以下是 Kubernetes 认证与的核心原理及关键机制,结合引用内容进行系统说明: --- ### **一、认证(Authentication)原理** **目标:** 验证用户/组件的身份 **发生位置:** API Server 接收请求的第一层 **核心方式:** 1. **X.509 客户端证书** - 用户或组件(如 `kubelet`)使用证书中的 `CN`(Common Name)作为用户名,`O`(Organization)作为用户组 - 证书由集群 CA(Certificate Authority)签发,API Server 用 CA 公钥验证签名 [^4] 2. **Service Account(服务账户)** - **原理:** - 每个 Namespace 自动创建默认 SA(如 `default`) - Pod 挂载 SA 的 `token`(JWT 令牌)和 `ca.crt` - `kube-controller-manager` 用私钥 `sa.key` 签名 token - API Server 用公钥 `sa.pub` 验证签名 [^1] - **示例:** ```yaml apiVersion: v1 kind: Pod metadata: name: nginx spec: serviceAccountName: default # 使用默认SA containers: - name: nginx image: nginx ``` 3. **Bearer Token** - 静态令牌文件(较少用) - OpenID Connect(OIDC)集成企业身份系统 4. **基本认证(Basic Auth)** - 用户名/密码,通常不建议生产使用 --- ### **二、(Authorization)原理** **目标:** 检查已认证用户是否有权限执行操作 **核心机制:** 1. **RBAC(基于角色的访问控制)** - **核心对象:** - `Role`/`ClusterRole`:定义权限规则(如允许 `get pods`) - `RoleBinding`/`ClusterRoleBinding`:将角色绑定到用户/组/SA [^2] - **示例:** ```yaml # 创建角色(允许读取 default 命名空间的 Pod) kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list"] --- # 将角色绑定到 Service Account kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: read-pods namespace: default subjects: - kind: ServiceAccount name: default namespace: default roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 2. **ABAC(基于属性的访问控制)** - 通过策略文件定义复杂规则,维护困难,逐渐被 RBAC 取代 3. **Node Authorization(节点)** - 专门授 `kubelet` 访问节点相关资源(如自身 Pod 的 `bind`/`watch` 操作) 4. **Webhook** - 调用外部 REST 服务决策权限 --- ### **三、准入控制(Admission Control)** **目标:** 在后对请求进行修改或验证 **关键组件:** 1. **MutatingAdmissionWebhook** - 动态修改请求(如注入 Sidecar 容器) 2. **ValidatingAdmissionWebhook** - 验证请求合法性(如检查资源配额) 3. **PodSecurityPolicy(PSP)** - **作用:** 限制 Pod 的安全参数(如禁止特容器) - **注:** Kubernetes 1.25+ 已弃用 PSP,由 **Pod Security Admission** 替代 [^2] --- ### **四、关键流程示例** **Pod 访问 API Server 的完整流程:** 1. **认证:** Pod 使用 SA 的 JWT Token 向 API Server 发起请求 2. **:** RBAC 检查该 SA 是否具有所需权限 3. **准入控制:** Webhook 校验请求是否符合安全策略 4. **执行操作:** 通过所有检查后处理请求 --- ### **五、最佳实践** 1. **最小权限原则:** RoleBinding 限定必要权限 2. **定期轮换证书:** 包括 SA 密钥对(`sa.key`/`sa.pub`) [^1] 3. **审计日志:** 启用 `audit.k8s.io` API 记录访问事件 4. **替代 PSP:** 使用 `PodSecurity` 准入控制器(如 `restricted` 策略) ```yaml # Pod Security Admission 示例(Kubernetes 1.23+) apiVersion: v1 kind: Namespace metadata: name: secure-app labels: pod-security.kubernetes.io/enforce: restricted # 强制执行受限策略 ``` --- ### **相关问题** 1. 如何排查 Kubernetes API 访问权限被拒绝(403错误)? 2. Service Account 的 Token 如何实现自动更新? 3. RBAC 中 `Role` 和 `ClusterRole` 的应用场景有何区别? 4. 如何集成 Kubernetes 与企业级 LDAP/AD 认证系统? [^1]: SA 密钥对实现 Token 的签发与验证机制 [^2]: RBAC 和 PodSecurityPolicy 的安全控制逻辑 [^3]: 所有操作经由 API Server 的统一入口 [^4]: 证书体系在集群安全中的基础作用
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值