K8s(五)认证&授权

最新推荐文章于 2025-04-23 14:44:59 发布
最新推荐文章于 2025-04-23 14:44:59 发布
阅读量1k 收藏
点赞数
分类专栏: linux kubernetes 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43987292/article/details/108458278
版权
本文详细介绍了在Kubernetes环境中进行认证和授权的过程,包括创建用户、配置apiserver客户端、生成认证证书、创建RBAC的role和rolebinding、clusterrole及clusterrolebinding。通过这些步骤,确保了用户权限的管理和资源的访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

创建用户

kubectl create serviceaccount myadmin

创建POD是使用自定义用户

pod.spec.ServiceAccountName:myadmin

apiserver 客户端配置文件:

[root@k8s-master ~]# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://10.211.55.11:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: kubernetes-admin@kubernetes
current-context: kubernetes-admin@kubernetes
kind: Config
preferences: {
   }
users:
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED

创建认证证书(使用k8sCA)

生成私钥:
$ openssl genrsa -out mykey.key  2048
创建证书签署请求:
$ openssl req -new -key mykey.key -out mykey.csr -subj "/CN=mykey"
签署证书:
openssl x509 -req -in mykey.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out mykey.crt -days 365

查看证书信息

[root@k8s-master pki]# openssl x509 -in mykey.crt -text -noout
最低0.47元/天 解锁文章
k8s认证授权
qq_41009846的博客
09-01 1772
流程 Authentication:身份认证
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2735
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
K8S安全认证
最新发布
2301_78530830的博客
04-23 952
指定用于客户端认证的证书文件路径,--client-key=/etc/kubernetes/pki/devman.key。:用于配置 Kubernetes 的上下文信息,上下文定义了集群、用户和命名空间的组合,devman@kubernetes。2.Service Account:K8S管理的账号,用于为Pod中的服务进程在访问K8S提供身份标识。3.ABAC:基于属性的访问控制,表示使用用户配置的授权配置的授权规则对用户请求匹配和控制。3.HTTPS证书认证:基于CA根证书签名的双向数字认证认证方式。
K8s(15)——认证授权基于rbac实验
m0_46652469的博客
04-16 450
主要分为三个部分,认证授权和准入控制。
k8scertificate-authority转化为certificate-authority-data
qq_39251759的博客
03-07 1003
在搞k8s的时候,高了半天发现这里出错,输出证书内容的格式不对 应该用以下命令将其转换为base64格式: cat "/path/to/certificate-authority" | base64 LS0tLS1CRUdJTiBSU0EgUFJJVkF******************tLS0tLQo= 否则的话会报错: (Caused by SSLError(SSLError(185090184, '[X509] no certificate or crl found (_ssl.c:3732)')
Wayne 平台上创建集群 获取 k8s 客户端访问验证数据
gs80140的专栏
07-04 320
创建集群需要的配置数据关联集群,KubeConfig里面的内容是通过下面的方式获取的 cat .kube/config apiVersion: v1 clusters: - cluster: certificate-authority-data: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tC**** server: htt...
k8s中的认证授权
K1487994142的博客
10-14 969
认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。用户账户是全局性的。其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户。用于拦截请求的一种方式,运行在认证授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。
二十三、K8s集群强化1-认证
tushanpeipei的博客
12-12 5031
通过K8s认证保证集群的安全性
Win7安装vs2015提示安装包损坏或者丢失解决,证书microsoft root certificate authority
09-30
Win7安装vs2015提示安装包损坏或者丢失解决,安装证书证书microsoft root certificate authority 2010 和 2011,私钥密码为123,安装到受信任的根证书颁发机构,然后重新安装vs2015
Kubernetes那点事儿——k8s安全认证
liangpangpangyo的博客
03-04 1424
要允许这些插件组件以超级用户权限运行,需要将集群的 cluster-admin 权限授予 kube-system 名字空间中的 “ServiceAccount” 服务账户。Adminssion Control实际上是一个准入控制器插件列表,发送到API server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
K8S 集群中的认证授权与kubeconfig
weixin_38320674的博客
04-07 7529
两种用户k8s中的客户端访问有两类用户:普通用户(Human User),一般是集群外访问,如 kubectl 使用的证书service account: 如集群内的 Pod有什么区别呢?...
K8s第七篇授权认证
weixin_43803147的博客
01-02 8663
K8s授权认证认证检查:检查是否为合法的用户,支持多种认证插件,用户只要通过一种插件的认证,则为合法的用户。 授权检查:检查用户的权限。 准入控制:如果用户的操作关联到多个资源,则进行准入控制检查。 客户端可以通过API Server的URL对资源进行操作: user:username,uid。 group:组。 extra:额外信息。 API Request Path:K8s的API...
kubernetes系列三:概念梳理——认证授权
jiangmingfei的博客
12-27 1885
文章目录一、集群里面相关的策略1、Kubernetes API的访问控制(1)传输安全(2)认证(4)准入控制(5)API Server 的端口和IP2、身份认证(1)k8s的用户(2)认证策略a、X509 客户端证书b、静态 Token 文件c、Bootstrap Tokend、静态密码文件e、Service Account Tokenf、openid-connect-tokeng、Webhoo...
【云原生】K8S的安全机制
怎么也想不出名字的博客
03-15 2743
Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。
【certs】普通用户配置密钥k8s apiserver https访问权限
国产-达芬奇
01-15 886
普通用户配置密钥k8s apiserver https访问权限
【kubernetes】kubernetes中的安全和认证
追寻梦想的青春
10-02 1266
时,返回了百度的证书,为了得到并验证百度的公钥,又必须有签发给百度证书的GlobalSign Organization Validation CA机构的公钥,因此,客户端又必须有GlobalSign Organization Validation CA机构的证书,从而可以从中提取出百度的公钥。kubernetes中的所有组件通信时都采用HTTPS双向认证,而部署时不可能为他们申请证书,因此,在部署kuberentes时通常都是先生成自签名证书,然后用该证书作为根证书,后续的证书都通过它签发。
K8s如何实现授权认证
05-23
Kubernetes (K8s) 提供了多种身份验证和授权机制,包括基于令牌、基于证书、基于 OpenID Connect 等。以下是 K8s认证授权机制: 1. 基于令牌的认证K8s 使用令牌进行用户身份验证。用户可以使用用户名和密码向 K8s 集群请求令牌,该令牌可用于后续请求的身份验证。 2. 基于证书的认证K8s 还支持使用证书进行身份验证。集群管理员可以在集群中生成证书,然后将证书分发给用户,让其用于身份验证。这种方法更加安全,因为证书可以被撤销。 3. OpenID Connect 认证K8s 还支持 OpenID Connect,这是一种基于 OAuth 2.0 的身份验证协议。它使得用户可以使用 Google、GitHub 等身份提供者进行身份验证,并获取到一个令牌,用于后续请求的身份验证。 在授权方面,K8s 提供了以下授权机制: 1. 基于角色的访问控制 (RBAC)K8s 的 RBAC 允许管理员为不同的用户或用户组分配不同的角色。角色定义了用户或用户组可以访问的资源和操作。 2. 基于节点的访问控制 (NBAC):NBAC 允许管理员为不同的节点分配不同的角色。角色定义了节点可以访问的资源和操作。 3. 基于命名空间的访问控制 (NSAC):NSAC 允许管理员为不同的命名空间分配不同的角色。角色定义了命名空间中可以访问的资源和操作。 4. 基于 Webhook 的授权:Webhook 允许管理员将授权决策交给外部服务来进行。这种方法比较灵活,因为管理员可以根据需要进行自定义授权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值