k8s权限管理

最新推荐文章于 2025-06-04 14:57:01 发布
最新推荐文章于 2025-06-04 14:57:01 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: k8s 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaojinran/article/details/128696218

权限介绍

k8s的资源访问控制支持多种模式,对于资源的管理模式基于RBAC(role basic access control)。主要涉及到以下个k8s对象类型:

  • serviceaccout
  • role
  • rolebinding
  • clusterrole
  • clusterrolebinding

role 和 clusterrole 的一个区别在于,role授予的权限只能是在所属的namespace,而clusterrole是全局的。在k8s资源中,有些资源是有namespace scope的,可以通过kubectl api-resources 进行查看

NAME                              SHORTNAMES   APIVERSION                             NAMESPACED   KIND
bindings                                       v1                                     true         Binding
componentstatuses                 cs           v1                                     false        ComponentStatus
configmaps                        cm           v1                                     true         ConfigMap
endpoints                         ep           v1                                     true         Endpoints
events                            ev           v1                                     true         Event

对于serviceaccount(以下简称sa)类型的用户,在1.24版本之前,创建sa用户时,会对应生成一个secret用于访问认证,1.24版本之后,官方建议使用kubectl create token serviceaccount来进行生成,可以对token的使用期限,对象进行控制,比较安全。

K8s的资源访问严格遵循resetful风格,从3方面进行资源限制

  • apiGroups

    对服务器的api端口进行控制

  • resources

    对k8s的资源类型进行控制

  • verbs

    对k8s的资源进行操作控制

详细的控制权限可以看官方文档:https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/authorization/

操作实践

笔者的版本为1.26,所以在创建完成sa之后,没有生成对应的secret来存储token,需要使用kubectl create token来进行生成。

以下来进行演示一个role权限

  1. 创建测试的命名空间

    笔者建议使用一个新的命名空间来进行测试

    kubectl create ns authority-test

  2. 创建serviceaccount用户myuser

    kubectl create serviceaccount myuser

  3. 创建role角色myrole并设置权限

    kubectl create role myrole
kubectl edit role myrole

    设置权限规则如下:

    rules:
- apiGroups:
  - "*"
  resources:
  - '*'
  verbs:
最低0.47元/天 解锁文章

200万优质内容无限畅学
k8s-身份认证与权限
咕噜咕噜wy的博客
04-26 1262
Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。
K8S学习指南(34)-k8s权限管理模型ABAC
俞兆鹏的博客
12-23 1411
通过本文,我们深入了解了Kubernetes权限管理模型ABAC的基本概念、核心组件,并通过详细的示例演示了如何创建ABAC策略文件、启用ABAC模块以及验证用户对资源的访问权限。在实际使用中,需要根据集群规模和业务需求,选择最合适的权限管理模型,以达到最佳的安全实践。Attribute-Based Access Control(ABAC)是K8s中的一种权限管理模型,它通过基于属性的规则来定义和控制对资源的访问权限。它会解析访问请求中的属性,与定义的策略进行匹配,从而决定是否允许访问。
K8s权限管理
a13568hki的博客
04-29 4318
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
k8s权限管理使用
最新发布
lunch_morning的博客
06-04 555
1、生成用户ssl证书2、生成用户kubeconfig文件3、创建命名空间。
K8s 权限管理详解
民工哥的博客
07-01 631
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 3033
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
K8S用户权限管理工具permission-manager-v1.6.0
12-13
KubernetesK8S)集群环境中,权限管理是至关重要的,它确保了资源的安全性和访问控制。"permission-manager-v1.6.0"是一个专为K8S设计的用户权限管理工具,它帮助管理员更好地控制和管理用户对Kubernetes资源的...
2024年最全k8s安全控制、授权管理介绍(3)
2401_84301922的博客
05-02 864
我是以kubeadm安装的kubernetes,主要是用到rbac的角色访问控制。
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 2165
在RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
看一眼就会的k8s权限管理手把手教学
记忆的博客
11-18 3583
Role #角色,基于名称空间下的资源RoleBinding #角色绑定,基于名称空间下的资源ClusterRole #集群角色,基于集群级别下的资源ClusterRoleBinding #集群角色绑定,基于集群级别下的资源其中,RoleRole是针对于名称空间级别,授予其所在名称空间范围内的许可权限。而ClusterRole和ClusterRoleBinding是针对于集群级别,授予其所在集群范围内的许可权限。
K8s 身份认证和权限
go|Python的个人博客
05-17 892
服务账号与用户账号不同,用户账号是集群中通过了身份认证的人类用户。Service Account Controller 在 namespaces 里管理ServiceAccount,并确保每个有效的 namespaces 中都存在一个名为 “default” 的 ServiceAccount。普通账户是假定被外部或独立服务管理的,由管理员分配 keys,用户像使用 Keystone 或 google 账号一样,被存储在包含 usernames 和 passwords 的 list 的文件里。
K8S学习指南(37)-k8s权限管理对象User
俞兆鹏的博客
12-24 1296
通过本文,我们深入了解了Kubernetes权限管理对象用户的基本概念、创建方式,并通过详细的示例演示了如何手动创建用户,并为其配置访问权限。用户的主要作用是在Kubernetes集群中唯一标识执行操作的实体,并通过与角色(Role)和角色绑定(RoleBinding)等进行关联,从而获取对资源的访问权限。在示例中,我们将演示如何手动创建一个用户,并将其与集群中的RoleRoleBinding关联,以实现对资源的访问权限。的用户,并指定了该用户的客户端证书和密钥。上述示例中,创建了一个名为。
K8S RBAC之Kubeconfig设置用户权限,不同的用户访问不同的namespace
red_sky_blue的专栏
05-30 1857
检查证书是否存在。
k8sRBAC角色访问控制之serviceaccount
weixin_44946147的博客
06-22 600
k8sRBAC角色访问控制之serviceaccount
k8s安全,授权其他用户管理一个namespace
qq_40862772的博客
06-08 435
k8s,运维
严格把控K8S集群中的操作权限,为普通用户生成特定的kubeconfig文件
菜鸟运维升级之路
03-12 904
使用并维护过K8S的ops/sre都知道,kubeconfig对于k8s的访问是非常重要。无论是部署,调试还是运维,都需要kubeconfig文件。在通过二进制或者kubeadm方式部署完一套集群后,会在/root/.kube/目录下产生一个config文件,这个文件就是集群的管理文件,如果直接给将该文件给到其他人员肯定不合适,因为管理员的kubeconfig可以干任何事情,注意是任何事情。包括删除节点等高危操作。因此,就涉及到了k8s集群的权限管理
k8s----基于角色的权限控制:RBAC
jerry_smx的博客
02-16 306
k8s----基于角色的权限控制:RBAC
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 2208
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值