k8s资源之role&rolebinding&clusterrole&clusterrolebinding

最新推荐文章于 2024-08-15 14:03:15 发布
最新推荐文章于 2024-08-15 14:03:15 发布
阅读量9k 收藏 12
点赞数 1
分类专栏: kubernetes 文章标签: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxpjava1/article/details/103779148
版权

 欢迎关注我的公众号:

 目前刚开始写一个月,一共写了18篇原创文章,文章目录如下:

istio多集群探秘,部署了50次多集群后我得出的结论

istio多集群链路追踪,附实操视频

istio防故障利器,你知道几个,istio新手不要读,太难!

istio业务权限控制,原来可以这么玩

istio实现非侵入压缩,微服务之间如何实现压缩

不懂envoyfilter也敢说精通istio系列-http-rbac-不要只会用AuthorizationPolicy配置权限

不懂envoyfilter也敢说精通istio系列-02-http-corsFilter-不要只会vs

不懂envoyfilter也敢说精通istio系列-03-http-csrf filter-再也不用再代码里写csrf逻辑了

不懂envoyfilter也敢说精通istio系列http-jwt_authn-不要只会RequestAuthorization

不懂envoyfilter也敢说精通istio系列-05-fault-filter-故障注入不止是vs

不懂envoyfilter也敢说精通istio系列-06-http-match-配置路由不只是vs

不懂envoyfilter也敢说精通istio系列-07-负载均衡配置不止是dr

不懂envoyfilter也敢说精通istio系列-08-连接池和断路器

不懂envoyfilter也敢说精通istio系列-09-http-route filter

不懂envoyfilter也敢说精通istio系列-network filter-redis proxy

不懂envoyfilter也敢说精通istio系列-network filter-HttpConnectionManager

不懂envoyfilter也敢说精通istio系列-ratelimit-istio ratelimit完全手册

 

————————————————

K8s的认证包含以下3方式:

证书认证   

    设置apiserver的启动参数

    --client_ca_file=SOMEFILE

Token认证     

  设置apiserver的启动参数

    --token_auth_file=SOMEFILE

基本信息认证      

设置apiserver的启动参数

  -- basic_auth_file=SOMEFILE

Kubectl config:

clusters :配置要访问的kubernetes集群

contexts :配置访问kubernetes集群的具体上下文环境

current-context: 配置当前使用的上下文环境

users: 配置访问的用户信息,用户名以及证书信息

kubectl config view

kubectl config set-cluster k8s-cluster2 --server=https://192.168.198.155:6443 --certificate-authority=/etc/kubernetes/ssl/ca.pem --embed-certs=true

kubectl config set-context kube-system-ctx --cluster=k8s-cluster1 --user=kubectl --namespace=kube-system

kubectl config unset [clusters | contexts | users | current-context]

cfssl gencert -ca /etc/kubernetes/ssl/ca.pem -ca-key /etc/kubernetes/ssl/ca-key.pem -config /etc/kubernetes/ssl/ca-config.json -profile kubernetes kubectl-csr.json | cfssljson -bare kubectl

kubectl config set-credentials mark --client-certificate=admin.pem --client-key=admin-key.pem --embed-certs=true

kubectl config --kubeconfig=config-demo set-credentials experimenter --username=exp --password=some-password

[root@master01 auth]# vi basic_auth_file

123456,mark,123,"group1,group2,group3“

Vi /etc/systemd/system/kube-apiserver.service

--basic-auth-file=/etc/kubernetes/auth/basic_auth_file \

K8s权限控制:

Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、WebhookNodeAlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。

RBAC

Role-based access control(RBAC)基于企业内个人用户属于角色来访问计算和网络的常规访问控制方法。简单理解为权限与角色关联,用户通过成为角色的成员来得到角色的权限。K8SRBAC使用rbac.authorization.k8s.io/v1 API组驱动认证决策,准许管理员通过API动态配置策略。为了启用RBAC,需要在apiserver启动参数添加--authorization-mode=RBAC

支持的动作

create delete deletecollection get list patch update watchbind

支持的资源

“services”, “endpoints”, “pods“"deployments“

“jobs”configmaps“nodes”rolebindingsclusterroles,等

示例:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: mark
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: svc-reader
rules:
- apiGroups: [""]
  resources: ["services"]
  verbs: ["get","watch","list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-svc
  namespace: default 
subjects:
- kind: User
  name: mark
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: svc-reader
  apiGroup: rbac.authorization.k8s.io

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: svc-reader
rules:
- apiGroups: [""]
  resources: ["services"]
  verbs: ["get","watch","list"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-svc-global
subjects:
- kind: User
  name: mark
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: svc-reader
  apiGroup: rbac.authorization.k8s.io

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: svc-reader
rules:
- apiGroups: [""]
  resources: ["services"]
  verbs: ["get","watch","list"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-svc-global
subjects:
- kind: Group
  name: group1
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: svc-reader
  apiGroup: rbac.authorization.k8s.io

子资源:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 namespace: default
 name: pod-and-pod-logs-reader
rules:
- apiGroups: [""]
  resources: ["pods","pods/log"]
  verbs: ["get","list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods-log
  namespace: default
subjects:
- kind: User
  name: mark
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-and-pod-logs-reader
  apiGroup: rbac.authorization.k8s.io

特定资源:

kubectl create cm my-configmap --from-literal=username=mark --from-literal=pass=123456

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: configmap-updater
rules:
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["my-configmap"]
  verbs: ["update","get"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: configmap-updater-default
  namespace: default
subjects:
- kind: User
  name: mark
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: configmap-updater
  apiGroup: rbac.authorization.k8s.io

所有被认证的用户:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: Group
  name: system:authenticated
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

serviceaccount:

kubectl create sa mysa 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: ServiceAccount
  name: mysa
  namespace: default
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

命令:

kubectl create rolebinding

kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme

$ kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme

kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods

kubectl create role pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod

kubectl create role foo --verb=get,list,watch --resource=replicasets.apps

kubectl create role foo --verb=get,list,watch --resource=pods,pods/status

kubectl create clusterrole pod-reader --verb=get,list,watch --resource=pods

kubectl create clusterrole pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod

kubectl create clusterrole foo --verb=get,list,watch --resource=replicasets.apps

kubectl create clusterrole foo --verb=get,list,watch --resource=pods,pods/status

kubectl create clusterrole "foo" --verb=get --non-resource-url=/logs/*

kubectl create clusterrole monitoring --aggregation-rule="rbac.example.com/aggregate-to-monitoring=true"

kubectl auth reconcile 子命令已经被添加用来应用 RBAC 资源。当传入一个文件包括 RBAC rolesrolebindingsclusterroles,或者 clusterrolebindings,该命令能够计算出覆盖的权限并且添加遗漏的规则

Kubectl auth can-i

k8s权限控制RBAC中的clusterrole serviceaccount rolebinding 有什么作用
u010674101的专栏
10-14 463
在 Kubernetes 的权限控制模型中,RBAC(基于角色的访问控制,Role-Based Access Control)用于管理对集群资源的访问权限。和是其中的关键概念。
k8s sa role rolebinding secret
qq_30553857的博客
05-05 1666
一、在RBAC中的几个概念: 1、什么是RBAC RBAC全称Role-Based Access Control,是Kubernetes集群基于角色的访问控制,实现授权决策,允许通过Kubernetes API动态配置策略。 2、什么是Role Role是一组权限的集合,例如Role可以包含列出Pod权限及列出Deployment权限,Role用于给某个NameSpace中的资源进行鉴权。 3、什么是ClusterRole ClusterRole是一组权限的集合,但与Role不同的是,ClusterRo
k8s--普通k8s集群---使用rolebinding限制或增加访问命名空间以及可执行操作权限
热门推荐
直到世界的尽头
11-13 1万+
权限控制原理 RBAC——基于角色的访问控制 基于角色的访问控制(Role-Based Access Control, 即”RBAC”) k8s使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。 也就是说 每个k8s用户调用k8s的api时,都会经过一层角色的权限校验,比如 我当前的用户或者 服务账户(serviceaccount)关联的是哪一个角色,就拥有这一个角色的访问权限。 基于这样的原理,k8s可以很灵
k8s学习-CKS真题-RoleBinding
关注网络安全、云原生安全
02-05 1006
生成web-pod.yaml,修改添加serviceAccountName,之后创建。查找service-account-web绑定的role。
RBAC 基于权限的访问控制 serviceaccount -- clusterRole clusterRoleBinding
weixin_30248399的博客
11-12 467
1.Role , RoleBinding 的作用对象都是namespace。 2.通过RoleRef,可以看到,RoleBinding对象通过名字,直接引用前面定义的Role,实现subject(user)和Role的绑定 role -- namespace -- RoleBinding -- mynamespace |...
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 3027
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
K8S 安全认证机制(认证、授权(Role/ClusterRole/ClusterRole/ClusterRoleBinding)、准入控制)
weixin_45880055的博客
06-10 3132
文章目录一、访问控制概述二、认证管理三、授权管理Role、ClusterRoleRoleBinding、ClusterRoleBindingRoleBinding引用ClusterRole进行授权实例四、准入控制 一、访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。 所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群中,客户端通常有两类: User Account: 一般是独立于kubern
k8s系列(十四:实例)RBAC :1、rolebinding 2、role 3、clusterbinding 4、clusterrole 12、14、 34、
xopqaaa的博客
01-15 2126
授权基于插件实现有以下插件: Node:基于节点 ABAC:基于属性的访问控制 RBAC:Role-based基于角色(角色是授权的主体) webhook:基于http的回调机制 角色(role) 资源:1、Objects 2、Object list 3、虚拟的URL或对象 许可(permission):在...
【Kubernetes】k8s的安全管理详细说明【role赋权和clusterrole赋权详细配置说明】
2401_84301853的博客
05-02 988
replicasets.extensions [] [] [create delete deletecollection patch update get list watch]replicationcontrollers.extensions/scale [] [] [create delete deletecollectio
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2965
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
k8s】serviceAccount、role、RoleBinding入门示例
最新发布
m0_45406092的博客
08-15 732
RBAC(基于角色的访问控制,Role-Based Access Control)是Kubernetes中用于管理权限的机制。如果设置正确,这个命令会返回命名空间中的Pod列表。你会看到一个错误,表明没有删除Pod的权限。
学习笔记三十一:k8s安全管理:认证、授权、准入控制概述SA介绍
weixin_43258559的博客
11-02 1112
认证基本介绍:kubernetes主要通过APIserver对外提供服务,那么就需要对访问apiserver的用户做认证,如果任何人都能访问apiserver,那么就可以随意在k8s集群部署资源,这是非常危险的,也容易被黑客攻击渗透,所以需要我们对访问k8s系统的apiserver的用户进行认证,确保是合法的符合要求的用户。授权基本介绍:认证通过后仅代表它是一个被apiserver信任的用户,能访问apiserver,但是用户是否拥有删除资源的权限, 需要进行授权操作,常见的授权方式有rbac授权。
ClusterRole & ClusterRoleBinding
喝醉酒的小白
01-31 335
当客户端发起API Server调用时,API Server内部要先进行用户认证,然后执行用户授权流程,即通过授权策略来决定一个API调用是否合法。对合法用户进行授权并且随后在用户访问时进行鉴权,是权限与安全系统的重要一环。简单地说,授权就是授予不同的用户不同的访问权限。
给我写一个部署k8s集群的ansible的role
weixin_42589700的博客
01-16 75
在这里我给你一个示例的Ansible Role来部署K8s集群: - name: Deploy K8s Cluster hosts: k8s-masters become: yes vars: k8s_version: 1.20.5 kubeadm_version: 1.20.5-00 tasks: - name: Install kubeadm, kubele...
tke-k8s rbac实践 ClusterRoleBinding自定义
yuezhilangniao的博客
11-12 606
以下主要介绍用不同的kubernetes的认证信息来访问集群中的指定的namespace 1、通过Token访问 2、通过用户名密码访问 3、通过RBAC 来访问 token授权和X.509 客户端证书方式 k8s rbac实践 tke rbac实践 ClusterRoleBinding自定义
K8s中ServiceAccount、Role、RoleBinding、ClusterRole、ClusterRoleBinding之间的关系
小末的博客
12-11 4516
k8s 鉴权 配置role和rolebinding包括证书问题 实例
weixin_43205308的博客
03-16 398
这两个文件在 /etc/kubernetes/pki 下就有,不要乱去找证书,不然会就算成功了也会包以下错误。6、设置集群、用户、上下文信息(这里ip是你mater的ip)因为我们权限是默认操作default空间所以可以看到。5、容易踩坑的地方 ca.crt 和 ca.key。这里已经切换用户了所以你看到的*已经在当前用户。2、创建role-binding2.yaml。创建testadmin.key。1、先创建role的配置文件。直接复制到你当前路径。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hxpjava1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值