Helm 用户指南-系列(7)-RBAC

最新推荐文章于 2024-04-28 09:40:43 发布
最新推荐文章于 2024-04-28 09:40:43 发布
阅读量243 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维
原文链接:https://yq.aliyun.com/articles/679383
本文详细介绍了如何在Kubernetes中使用基于角色的访问控制(RBAC)来管理Helm的权限,包括Tiller服务帐户的权限配置,以及如何限制Tiller在特定namespace的操作范围。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

RBAC-基于角色的访问控制


在Kubernetes中,最佳的做法是,为特定的应用程序的服务帐户授予角色,确保应用程序在指定的范围内运行。要详细了解服务帐户权限请阅读官方Kubernetes文档.

Bitnami写了一个在集群中配置RBAC的指导,可让你了解RBAC基础知识。

我在网址 https://whmzsu.github.io/helm-doc-zh-cn/ 不断更新,同时也会搬运到这里,大家有兴趣加入https://github.com/whmzsu/helm-doc-zh-cn/的可以给我提交意见和建议。

本指南面向希望对Helm限制如下权限的用户:

  1. Tiller将资源安装到特定namespace能力
  2. 授权Helm客户端对Tiller实例的访问

Tiller和基于角色的访问控制

可以在配置Helm时使用--service-account <NAME>参数将服务帐户添加到Tiller 。前提条件是必须创建一个角色绑定,来指定预先设置的角色role和服务帐户service account 名称。

在前提条件下,并且有了一个具有正确权限的服务帐户,就可以像这样运行一个命令来初始化Tiller: helm init --service-account <NAME>

Example: 服务账户带有cluster-admin 角色权限

$ kubectl create serviceaccount tiller --namespace kube-system
serviceaccount "tiller" created

文件 rbac-config.yaml:

apiVersion: v1
kind: ServiceAccount metadata: name: tiller
 namespace: kube-system
--- apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding metadata: name: tiller
roleRef: apiGroup: rbac.authorization.k8s.io
 kind: ClusterRole name: cluster-admin
subjects: - kind: ServiceAccount name: tiller
 namespace: kube-system

Note: cluster-admin角色是在Kubernetes集群中默认创建的,因此不必再显式地定义它。.

$ kubectl create -f rbac-config.yaml
serviceaccount "tiller" created
clusterrolebinding "tiller" created
$ helm init --service-account tiller

在特定namespace中部署Tiller,并仅限于在该namespace中部署资源

在上面的例子中,我们让Tiller管理访问整个集群。当然,Tiller正常工作并不一定要为它设置集群管理员访问权限。我们可以指定Role和RoleBinding来将Tiller的范围限制为特定的namespace,而不是指定ClusterRole或ClusterRoleBinding。

$ kubectl create namespace tiller-world
namespace "tiller-world" created
$ kubectl create serviceaccount tiller --namespace tiller-world
serviceaccount "tiller" created

定义允许Tiller管理namespace tiller-world 中所有资源的角色 ,文件role-tiller.yaml:

kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1
metadata: name: tiller-manager
 namespace: tiller-world
rules: - apiGroups: ["", "extensions", "apps"] resources: ["*"] verbs: ["*"] 
$ kubectl create -f role-tiller.yaml
role "tiller-manager" created

文件 rolebinding-tiller.yaml,

kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1
metadata: name: tiller-binding
 namespace: tiller-world
subjects: - kind: ServiceAccount name: tiller
 namespace: tiller-world
roleRef: kind: Role name: tiller-manager
 apiGroup: rbac.authorization.k8s.io
$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created

之后,运行helm init来在tiller-world namespace中安装Tiller 。

$ helm init --service-account tiller --tiller-namespace tiller-world
$HELM_HOME has been configured at /Users/awesome-user/.helm. Tiller (the Helm server side component) has been installed into your Kubernetes Cluster. Happy Helming!

$ helm install nginx --tiller-namespace tiller-world --namespace tiller-world
NAME: wayfaring-yak
LAST DEPLOYED: Mon Aug 7 16:00:16 2017
NAMESPACE: tiller-world
STATUS: DEPLOYED

RESOURCES: ==> v1/Pod
NAME READY STATUS RESTARTS AGE
wayfaring-yak-alpine 0/1 ContainerCreating 0 0s

Example: 在一个namespace中部署Tiller,并限制它在另一个namespace部署资源

在上面的例子中,我们让Tiller管理它部署所在的namespace。现在,让我们限制Tiller的范围,将资源部署在不同的namespace中!

下面例子中,让我们在myorg-system namespace中安装Tiller,并允许Tiller在myorg-users namespace中部署资源。

$ kubectl create namespace myorg-system
namespace "myorg-system" created
$ kubectl create serviceaccount tiller --namespace myorg-system
serviceaccount "tiller" created

role-tiller.yaml中,定义了一个允许Tiller管理所有myorg-users资源的角色:

kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1
metadata: name: tiller-manager
 namespace: myorg-users
rules: - apiGroups: ["", "extensions", "apps"] resources: ["*"] verbs: ["*"] 
$ kubectl create -f role-tiller.yaml
role "tiller-manager" created

将 service account 与那个role绑定. rolebinding-tiller.yaml,

kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1
metadata: name: tiller-binding
 namespace: myorg-users
subjects: - kind: ServiceAccount name: tiller
 namespace: myorg-system
roleRef: kind: Role name: tiller-manager
 apiGroup: rbac.authorization.k8s.io
$ kubectl create -f rolebinding-tiller.yaml
rolebinding "tiller-binding" created

我们还需要授予Tiller访问权限来读取myorg-system中的configmaps,以便它可以存储release信息。如 role-tiller-myorg-system.yaml:

kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1
metadata: namespace: myorg-system
 name: tiller-manager
rules: - apiGroups: ["", "extensions", "apps"] resources: ["configmaps"] verbs: ["*"] 
$ kubectl create -f role-tiller-myorg-system.yaml
role "tiller-manager" created

相应的role 绑定. 如 rolebinding-tiller-myorg-system.yaml:

kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1
metadata: name: tiller-binding
 namespace: myorg-system
subjects: - kind: ServiceAccount name: tiller
 namespace: myorg-system
roleRef: kind: Role name: tiller-manager
 apiGroup: rbac.authorization.k8s.io
$ kubectl create -f rolebinding-tiller-myorg-system.yaml
rolebinding "tiller-binding" created

Helm 和基于角色的访问控制

在pod中运行Helm客户端时,为了让Helm客户端与Tiller实例进行通信,需要授予某些特权。具体来说,Helm客户端需要能够创建pods,转发端口并能够在Tiller运行的namespace中列出pod(这样它才可以找到Tiller)。

Example: 在一个namespace中部署helm,与在另一个namespace中与Tiller交互

在这个例子中,我们将假设Tiller在名为tiller-world 的namespace中运行,并且Helm客户端在helm-world中运行。默认情况下,Tiller在kube-system namespace中运行。

helm-user.yaml:

apiVersion: v1
kind: ServiceAccount metadata: name: helm
 namespace: helm-world
--- apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role metadata: name: tiller-user
 namespace: tiller-world
rules: - apiGroups: - "" resources: - pods/portforward
 verbs: - create
- apiGroups: - "" resources: - pods
 verbs: - list
--- apiVersion: rbac.authorization.k8s.io/v1beta1
kind: RoleBinding metadata: name: tiller-user-binding
 namespace: tiller-world
roleRef: apiGroup: rbac.authorization.k8s.io
 kind: Role name: tiller-user
subjects: - kind: ServiceAccount name: helm
 namespace: helm-world
$ kubectl create -f helm-user.yaml
serviceaccount "helm" created
role "tiller-user" created
rolebinding "tiller-user-binding" created
本文转自kubernetes中文社区- Helm 用户指南-系列(7)-RBAC
7Helm 进阶使用指南
e1f2g的博客
07-17 30
本文深入探讨了 Helm 的进阶使用技巧,包括命名空间操作、安装与升级命令、安装控制标志以及如何构建和修改 Helm 图表。内容覆盖了 Helm 在实际使用中的高级功能和最佳实践,帮助用户更高效地在 Kubernetes 集群中部署和管理应用。
Helm 入门指南:5分钟快速掌握云原生应用部署
最新发布
AI云原生与云计算技术学院
06-29 423
随着云原生技术的普及,Kubernetes成为容器编排的事实标准。然而直接使用Kubernetes原生YAML文件管理复杂应用时,面临配置冗余、版本管理困难、依赖处理低效等问题。Helm作为Kubernetes的包管理工具,通过标准化的Chart格式和声明式部署模型,有效解决了这些痛点。本文将从Helm的核心概念入手,逐步讲解从环境搭建到复杂应用部署的完整流程,涵盖Chart开发、模板语法、依赖管理、Release生命周期管理等核心功能。通过理论与实战结合的方式,帮助读者建立系统化的Helm知识体系。
helm-tiller-rbac:启用分的RBAC配置文件
04-27
Tiller-RBAC插件 通过此Helm插件,您可以将RBAC配置文件添加到Kubernetes命名空间中的Tiller。 RBAC配置文件是由Kubernetes角色和RoleBinding定义组成的Helm图表。 此插件旨在帮助在其集群中设置多个Tiller(每个命名空间一个Tiller)的运营商团队确保将Tiller锁定到给定命名空间中特定Kubernetes资源上的特定操作。 用法 $ helm tiller-rbac [flags] RBAC_PROFILE 标志 --namespace string namespace of Tiller to apply profile (default "default") 安装 $ helm plugin install https://github.com/michelleN/helm-tiller-rbac 上面的代码将获取
kubernetes 1.6集群再遇rbac问题(helm安装spark)
mofiu的博客
08-14 849
使用helm在k8s集群部署spark以及rbac限问题处理
K8S的集群安全机制RBAC、性能监控平台、Helm的操作
互联网知识分享
08-17 389
集群中进行性能监控是非常重要的,可以帮助我们实时了解集群的健康状况,并进行故障排查和性能优化。与角色绑定不同的是,集群角色绑定是在整个集群范围内进行授。一个角色绑定可以将一个或多个角色绑定到一个用户用户组。还提供了丰富的命令和功能,如依赖管理、版本控制等,可以根据实际需求进行使用。提供了强大的告警功能,可以根据指标的阈值或条件触发告警。的一个包管理工具,可以简化应用程序的部署和管理过程。)分配给用户用户组,来管理集群中的资源访问限。),该压缩文件可以在不同的环境中进行部署。
k8s学习(十九) helm安装和简单使用
文若书生的专栏
09-25 754
对于单体服务,部署一套测试环境我相信还是非常快的,但是对于微服务架构的应用,要部署一套新的环境,就有点折磨人了,微服务越多、你就会越绝望的。虽然我们线上和测试环境已经都迁移到了kubernetes环境,但是每个微服务也得维护一套yaml文件,而且每个环境下的配置文件也不太一样,部署一套新的环境成本是真的很高。Helm就相当于kubernetes环境下的yum包管理工具。 1、下载helm ht...
helm搭建K8S系列三:Helm部署详细教程(含代码)
StarOS_Test的博客
10-27 6348
前言 也许在未来,应用研发人员只需要关注应用研发即可,底层的Docker、K8S技术并不需要应用研发人员去掌握,底层IT与研发平台将是完全隔离的。 比如我所知道的,新型的云原生研发工具StarOS,完全隔离底层IT,编程环境信手拈来,资源也无需申请,全SAAS化。 目前是迭代阶段,纯免费,有需要的朋友们,可以去体验一下。 也许未来的招聘要求,是研发人员需要掌握新型研发工具的使用。 接上一篇,继续来看Helm搭建K8S的详细教程。 helm搭建K8S步骤三、给 Tiller 授 因为.
如何使用 Helm 安装 GitLab Runner?
GitLab 中国发行版
04-28 1016
如何使用 Helm 安装极狐GitLab Runner。
k3s-monitoring:快速入门指南,可通过Prometheus Operator和kube-prometheus-stack Helm Chart在k3s集群上获得完整的监视和警报堆栈并运行
02-04
在这个快速入门指南中,我们将探讨如何在K3s集群上利用Prometheus Operator和kube-prometheus-stack Helm Chart来建立一个全面的监控和报警系统。 首先,Prometheus是一个开源的度量分析和时间序列数据库,广泛用于...
OpenShift上Helm部署教程指南
资源摘要信息: "helm-openshift项目提供了一套指南和工具,旨在帮助用户在OpenShift Kubernetes Distribution(OKD)平台上进行Helm Chart的部署。Helm是Kubernetes的包管理工具,允许用户以一种可复用和可配置的...
【笔记】Helm-4 最佳实践-8 基于角色的访问控制
m0_46141283的博客
01-28 618
serviceAccount.name要设置为由chart创建的访问控制资源的ServiceAccount的名称。如果serviceAccount.create是true,则使用该名称的ServiceAccount会被创建。如果serviceAccount.create是false,则不会被创建,但仍然会与相同的资源关联,以便后续手动创建的引用它的RBAC资源可以正常工作。如果serviceAccount.create是false且没有指定名称,会使用默认的ServiceAccount。
Helm简介
热门推荐
迷途的攻城狮
03-13 2万+
Helm简介 这几天花了不少时间在helm的学习之上,目前还不能熟练运行,很多东西都停留在记忆层面。整理这篇文章为加深印象,也便于后续实践的过程中参考和查询——记性不好。 1、简介 Helm is the best way to find, share, and use software built for Kubernetes. Helm之于Kubernetes好比y...
RBAC导致的helm安装tiller错误解决
Focus on k8s and python
01-01 2525
在用helm init安装tiller server时,一直部署不成功,检查deployment发现是rbac导致的限错误.            1 helm init时,默认的repo url被墙,导致出错.            解决办法:增加参数配置未被墙的repo url,可以是本地的.                  2  修改repo url后,h
Helm安装使用
琦彦
10-21 7957
Helm安装使用 Helm安装使用 Helm这个东西其实早有耳闻,但是一直没有用在生产环境,而且现在对这货的评价也是褒贬不一。正好最近需要再次部署一套测试环境,对于单体服务,部署一套测试环境我相信还是非常快的,但是对于微服务架构的应用,要部署一套新的环境,就有点折磨人了,微服务越多、你就会越绝望的。虽然我们线上和测试环境已经都迁移到了kubernetes环境,但是每个微服务也得维护一套yaml文件,而且每个环境下的配置文件也不太一样,部署一套新的环境成本是真的很高。如果我们能使用类似于yum的工具来安装
Kubernetes学习之Helm包管理器
Micky_Yang的博客
11-15 550
一、认识Helm   在之前的文章中的应用部署过程可知,在Kubernetes系统上面部署容器化应用时需要事先手动编写资源配置清单文件,而且其每一次的配置定义基本上都是硬编码。基本上无法实现复用。对于较大规模的应用场景、分发、版本控制、查找、回滚甚至是查看都将是用户的噩梦。Helm却可以大大的简化应用管理的难度。   简单来说,Helm就是Kubernetes的应用程序包管理器,类似于Linux系统之上的yum或apt-get等。可用于实现帮助用户查找、分享及使用Kubernetes应用程序,目前的版本由C
helm安装配置
weixin_33895475的博客
08-04 438
简介 helm是kubernetes的包管理工具,用于简化部署和管理 Kubernetes 应用。用来管理charts——预先配置好的安装包资源。 Helm和charts的主要作用: 应用程序封装 版本管理 依赖检查 便于应用程序分发 helm是一个C/S框架的软件,helm相当于一个客户端,tiller是一个服务端 Helm CLI 是 Helm 客户端,可以在本地执行 Tiller 是...
Helm使用
wenwenxiong的专栏
01-15 8728
Helm 基本概念Helm 可以理解为 Kubernetes 的包管理工具,可以方便地发现、共享和使用为Kubernetes构建的应用,它包含几个基本概念 Chart:一个 Helm 包,其中包含了运行一个应用所需要的镜像、依赖和资源定义等,还可能包含 Kubernetes 集群中的服务定义,类似 Homebrew 中的 formula,APT 的 dpkg 或者 Yum 的 rpm 文件, Rel
K8S学习之helm
weixin_60092693的博客
02-10 8589
helm 是tiller的客户端,tiller是守护进程,helm 请求,tiller接收,与api交互完成创建 helm 包管理工具,下载chart图表, chart部署实例release,chart里有个values.yaml,定义值进行模板安装,其参数可以修改 helm吧k8s的资源打包到图表中 Helm相当于linux环境下的yum包管理工具。 helm是一k8s中的一个命令行客户端工具,helm是tiller的客户端,tiller是一个守护进程,接收helm的请求,helm把请求交给ti
k8s之Helm(快速下载yaml文件模板)
lvjianzhaoa的博客
11-26 2941
一、helm介绍 在Kubernetes中部署容器云的应用也是一项有挑战性的工作,Helm就是为了简化在Kubernetes中安装部署容器云应用的一个客户端工具。通过helm能够帮助开发者定义、安装和升级Kubernetes中的容器云应用,同时,也可以通过helm进行容器云应用的分享。在Kubeapps Hub中提供了包括Redis、MySQL和Jenkins等常见的应用,通过helm可以使用一条...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值