k8s RBAC 多租户权限控制实现

最新推荐文章于 2025-07-27 22:03:11 发布
原创 最新推荐文章于 2025-07-27 22:03:11 发布 · 8k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #RBAC

本文探讨了两种Kubernetes(RBAC)实现多租户权限控制的方案:方案1利用role和roleBinding,方案2则采用clusterRole与roleBinding的组合,其中推荐使用方案2进行集群级别的权限管理。
更多kubernetes文章: k8s专栏目录

访问到权限分两部分

1.Authenticating认证
授权配置由kube-apiserver管理

这里使用的是 Static Password File 方式。
apiserver启动yaml里配置basic-auth-file即可,容器启动apiserver的话要注意这个文件需要是在容器内能访问到的。(可以通过挂载文件,或者在已经挂载的路径里增加配置文件)
basic-auth-file文件格式见官方文档 https://kubernetes.io/docs/admin/authentication/#static-password-file 注意password在第一个,之前没注意被卡了很久。
修改了文件以后需要重启apiserver才能生效。这里kubectl delete 删除pod有问题,使用docker命令查看apiserver容器其实没有重启。解决方案是使用docker kill杀掉容器。自动重启。 

[root@tensorflow1 ~]# curl -u admin:admin "https://localhost:6443/api/v1/pods" -k
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "pods is forbidden: User \"system:anonymous\" cannot list pods at the cluster scope",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403
}
这个就是没有通过认证的报错


2.Authorization授权

k8s RBAC授权规则

简单来说就是 权限--角色--用户绑定
需要配置两个文件 
一个是role/clusterRole,定义角色以及其权限
一个是roleBinding/clusterRoleBinding,定义用户和角色的关系 

{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {
    
  },
  "status": "Failure",
  "message": "pods is forbidden: User \"admin\" cannot list pods at the cluster scope",
  "reason": "Forbidden",
  "details": {
    "kind": "pods"
  },
  "code": 403
}
这个就是没有权限访问,需要配置RBAC


文件如下:
  1. 方案1:role + roleBinding

kind: Role
apiVer
最低0.47元/天 解锁文章

新学期VIP享超值加赠
k8s基于rbac多租户实现权限管理
ltqb
09-01 617
制作租户访问证书 openssl genrsa -out ethan.key 2048 openssl req -new -key ethan.key -out ethan.csr -subj “/CN=ethan/O=test” openssl x509 -req -in ethan.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out ethan.crt -days 10000
k8s RBAC权限控制
2401_86274572的博客
08-04 1244
使用k8s RBAC权限控制
数据访问权限控制详解(多租户权限控制):三种常见方案与实战分析
qq_46371374的博客
07-26 565
本文系统探讨了信息系统开发中的数据访问权限控制方案,重点分析了三种主流实现方式及其适用场景。物理切分方案通过分库分表实现粗粒度隔离,安全性高但灵活性不足;RBAC基于角色权限拼接,实现简单但难以满足复杂需求;ACL访问控制表提供细粒度管理,灵活性最强但实现复杂度最高。作者建议根据业务需求组合使用这些方案,并配套权限审计、最小授权等机制,构建安全、灵活、可维护的权限系统。这三种方案各具特点,分别适用于多租户系统、通用业务系统和复杂权限业务场景。
多租户RBAC研究
04-09
文章内容简介,值得一看,尤其是多租户RBAC的有机结合。
k8s 多租户_k8s使用rbac实现多租户
weixin_36204626的博客
01-15 520
### 制作租户访问证书 ###openssl genrsa -out ethan.key 2048openssl req -new -key ethan.key -out ethan.csr -subj "/CN=ethan/O=test"openssl x509 -req -in ethan.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kube...
多租户权限
wang2leee的博客
08-25 1572
多租户权限是指在一个系统中支持多个租户(Tenant)之间的权限管理,每个租户可以拥有自己独立的用户、角色和权限配置。多租户权限的出现主要是为了满足企业和组织对于安全性和隔离性的需求,使不同租户之间的数据和功能能够相互独立且安全地进行管理和访问。
K8S RBAC 鉴权
小五
05-07 1421
pods: Pod 是 Kubernetes 中最小的可部署对象,代表集群中的一个运行中的应用程序实例。services: Service 定义了一组Pod的逻辑集合以及访问这些Pod的策略,通常用于创建应用程序的网络端点。nodes: Node 是 Kubernetes 集群中的一个工作节点,可以是虚拟机或物理机器。namespaces: NamespaceKubernetes 中用于多租户的虚拟集群的一种方式。
Kubernetes中的RBAC:细粒度权限控制实现与实践
2402_85761468的博客
08-25 1069
Kubernetes 作为一个多租户的容器编排平台,提供了一套强大的基于角色的访问控制(RBAC)机制来管理用户和组的权限。本文将详细解析 RBACKubernetes 中的实现原理、关键组件以及如何配置和使用 RBAC 进行权限控制。通过实际代码示例,我们将展示如何在 Kubernetes实现细粒度的访问控制。RBAC 是一种流行的权限管理模型,它通过角色(Roles)和角色绑定(RoleBindings)来定义和授予权限。角色定义了一组对 Kubernetes 资源的访问权限。
K8S用户权限管理工具permission-manager-v1.6.0
12-13
5. **多租户支持**:对于有多个团队或部门共享的K8S集群,permission-manager可以有效地划分资源访问权限,实现多租户环境下的安全隔离。 6. **易用性**:可能包含图形用户界面(GUI)或者命令行接口(CLI),使得...
多租户通用权限设计(基于casbin)
weixin_34071713的博客
02-20 1983
多租户通用权限设计(基于 casbin) 所谓权限控制, 概念并不复杂, 就是确认某个操作是否能做, 本质上仅仅就是个bool判断. 权限几乎是每个系统必不可少的功能, 和具体业务结合之后, 在系统中往往表现的非常复杂和难于控制, 很大部分原因是把权限和具体业务结合的太过紧密, 把业务的复杂度也加入到权限控制中来了. 一直以来, 都有个想法, 想做一套简单好用的通用权限系统, 和任何业务都没有关系...
统一身份认证多租户
05-06
统一身份认证多租户
K8s之权限管理
a13568hki的博客
04-29 4328
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
k8s权限管理
weixin_34228617的博客
05-06 823
2019独角兽企业重金招聘Python工程师标准>>> ...
k8s权限控制RBAC
Peerless__的博客
11-14 1527
kubernetes集群所有的交互都是通过apiServer来进行的,因此k8s对权限的控制就尤其重要。从1.6版本起,kubernetes默认启用RBAC访问控制策略。RBAC(Role-Based Access Control):基于角色的访问控制RBAC中4种顶级资源:Role、ClusterRole、RoleBinding、ClusterRoleBinding角色,包含一组权限的规则。没有拒绝规则,只是附加运行。Namespace隔离,只作用于命名空间。
k8s的权限
最新发布
sky学linux的博客
07-27 848
k8s的权限
玩转 K8s 权限控制RBAC + kubeconfig 搞定 kubectl 权限管理那些事
sdgfafg_25的博客
12-14 1245
先复习下 K8s 里的 RBAC 机制。(这时候需要用到 GPT 了。我:Hello ChatGPT,用中文总结下 K8s 里的 RBAC 是个啥。ChatGPT在 Kubernetes 中,RBAC 是一种强大的访问控制机制,用于管理对集群资源的访问权限。RBAC 可以帮助管理员精确地控制用户、ServiceAccount 或其他实体对 Kubernetes API 中资源的操作权限。RBAC 基于角色的授权模型使得管理员可以定义角色和角色绑定,从而实现对不同用户或实体的访问权限控制
K8s 权限管理详解
民工哥的博客
07-01 653
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
多租户:权限管理
z1941563559的博客
01-10 1687
多租户架构中,权限管理的核心是“数据隔离”和“功能分配”,通过为不同租户和租户内部的不同角色分配合适的权限,确保每个用户只能访问他们应该拥有的数据和功能。好的权限管理不仅能提升安全性,还能提高系统的灵活性和用户体验。
k8s 多租户服务网格
10-13
Kubernetes 多租户服务网格是指在 Kubernetes 集群中,为不同的租户提供独立的服务网格,以实现服务隔离和安全性。这可以通过使用 Kubernetes 的命名空间、网络策略和 RBAC 等功能来实现。 在多租户服务网格中,每个租户都有自己的命名空间,其中包含了该租户所拥有的所有服务和资源。通过使用网络策略,可以限制不同租户之间的网络访问,从而保证服务之间的隔离性。同时,通过使用 RBAC,可以为每个租户分配不同的权限,以保证安全性。 Kubernetes 多租户服务网格的优点包括: 1. 提供了更好的服务隔离和安全性,可以避免不同租户之间的资源冲突和安全漏洞。 2. 可以更好地管理大规模的 Kubernetes 集群,提高了集群的可扩展性和可维护性。 3. 可以更好地支持多租户应用程序的部署和管理,提高了应用程序的灵活性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值