2. 程式人生 > >【Kubernetes】基於角色的許可權控制:RBAC

【Kubernetes】基於角色的許可權控制:RBAC

阿新 發佈:2018-11-03

  Kubernetes中所有的API物件,都儲存在Etcd裡,對這些API物件的操作,一定都是通過訪問kube-apiserver實現的,原因是需要APIServer來做授權工作。

  在Kubernetes中,負責完成授權(Authorization)工作的機制,就是RBAC:基於角色的訪問控制(Role-Based Access Control)

  RBAC中有三個最基本的概念:

1、Role:角色,它其實是一組規則,定義了一組對Kubernetes API物件的操作許可權

  Role本身是一個Kubernetes的API物件,定義如下所示:

kind: Role
apiVersion: rbac.authorization.k8s.io
 
/v1
metadata:
  namespace: mynamespace  ## 指定它能產生作用的Namespace
  name: example-role
rules:    ##  定義許可權規則
- apiGroups: [""]
  resources: ["pods"]  ## 對mynamespace下面的Pod物件
  verbs: ["get", "watch", "list"]   ## 進行GET、WATCH、LIST操作

 

2、Subject:被作用者,既可以是“人”,也可以是“機器”,也可以是Kubernetes裡定義的“使用者”

3、RoleBinding:定義了“被作用者”和“角色”的繫結關係

  RoleBingding本身也是一個Kubernetes的API物件

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-rolebinding
  namespace: mynamespace
subjects:   ## 被作用者
- kind: User     ## 型別是User
  name: example-user  ## 使用者名稱是example-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
## 通過roleRef欄位,RoleBinding物件可以直接通過名字來引用Role物件,從而定義了被作用者(Subject)和角色(Role)之間的關係
  kind: Role
  name: example
 
-role
  apiGroup: rbac.authorization.k8s.io

  需要注意的是:Role和RoleBinding物件都是Namespaced物件,它們對許可權限制規則僅在它們自己的Namespace內有效,roleRef也只能引用當前Namespace裡的Role物件

  那對於非Namespaced物件(如: node)或者一個Role想作用於所有的Namespace的時候,又該如何去做授權呢?

  這個時候就必須要使用ClusterRole和ClusterRoleBinding這個組合了,這兩個API物件的用法跟Role和RoleBinding完全一樣,只不過它們的定義裡沒有了Namespace欄位

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-clusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]


kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-clusterrolebinding
subjects:
- kind: User
  name: example-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: example-clusterrole
  apiGroup: rbac.authorization.k8s.io

 

   上面的例子裡意味著名叫example-user的使用者擁有對所有Namespace裡的Pod進行GET、WATCH和LIST操作的許可權。

  如果想要賦予使用者所有許可權,那可以給它指定一個verbs欄位的全集

verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

 

   Role物件的Rules欄位也可以進一步細化,如可以只針對某一個具體的物件進行許可權設定

rules:
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["my-config"]
  verbs: ["get"]

 

 

  那現在還有一個問題,在Kubernetes中其實並沒有一個叫做“User”的API物件,那這個User從哪裡來呢? 

  在Kubernetes的User只是一個授權系統裡的邏輯概念,在大多數私有的使用環境中,只需要使用Kubernetes提供的內建“使用者”足夠了。負責管理內建使用者的是ServiceAccount

  首先定義一個ServiceAccount

apiVersion: v1
kind: ServiceAccount
metadata:
  namespace: mynamespace
  name: example-sa

  然後通過編寫RoleBinding的YAML檔案,來為這個ServiceAccount分配許可權

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: example-rolebinding
  namespace: mynamespace
subjects:
- kind: ServiceAccount
  name: example-sa
  namespace: mynamespace
roleRef:
  kind: Role
  name: example-role
  apiGroup: rbac.authorization.k8s.io

 

  接著建立這個三個物件

$ kubectl create -f svc-account.yaml
$ kubectl create -f role-binding.yaml
$ kubectl create -f role.yaml


$ kubectl get sa -n mynamespace -o yaml
- apiVersion: v1
  kind: ServiceAccount
  metadata:
    creationTimestamp: 2018-09-08T12:59:17Z
    name: example-sa
    namespace: mynamespace
    resourceVersion: "409327"
    ...
  secrets:
  - name: example-sa-token-vmfg6

  可以看到,Kubernetes會為一個ServiceAccount自動建立並分配一個Secret物件。這個Secret就是ServiceAccount對應的、用來跟APIServer進行互動的授權檔案,一般稱為Token。 Token檔案的內容一般是證書或者密碼,它以一個Secret物件的方式儲存在Etcd中。

  這時候,使用者的Pod就可以宣告使用這個ServiceAccount了

apiVersion: v1
kind: Pod
metadata:
  namespace: mynamespace
  name: sa-token-test
spec:
  containers:
  - name: nginx
    image: nginx:1.7.9
  serviceAccountName: example-sa



$ kubectl describe pod sa-token-test -n mynamespace
Name:               sa-token-test
Namespace:          mynamespace
...
Containers:
  nginx:
    ...
    Mounts:
      /var/run/secrets/kubernetes.io/serviceaccount from example-sa-token-vmfg6 (ro)

 

   如果一個Pod沒有宣告serviceAccountName,Kubernetes會自動在它的Namespace下建立一個名叫default的預設ServiceAccount,然後分配給這個Pod,這個預設的ServiceAccount並沒有關聯任何Role。

  除了 前面使用的User,Kubernetes還有使用者組(Group)的概念

  實際上一個ServiceAccount,在Kubernetes裡對應的User的名字是:

system:serviceaccount:<ServiceAccount 名字 >

  那它對應的Group的名字就是

system:serviceaccounts:<Namespace 名字 >

  現在可以在RoleBinding裡定義如下的subjects:

subjects:
- kind: Group
  name: system:serviceaccounts:mynamespace  ## Role許可權規則作用於Namespace裡所有的ServiceAccount
  apiGroup: rbac.authorization.k8s.io


subjects:
- kind: Group
  name: system:serviceaccounts  ## Role許可權規則作用於整個系統裡所有ServiceAccount
  apiGroup: rbac.authorization.k8s.io

 

相關推薦

Kubernetes基於角色許可權控制RBAC

  Kubernetes中所有的API物件,都儲存在Etcd裡,對這些API物件的操作,一定都是通過訪問kube-apiserver實現的,原因是需要APIServer來做授權工作。   在Kubernetes中,負責完成授權(Authorization)工作的機制,就是RBAC:基於角色的訪問控制(Rol

轉載使用者·角色·許可權·表的設計

轉自:https://www.cnblogs.com/oo_o/p/8213448.html 設計一個靈活、通用、方便的許可權管理系統。        在這個系統中,我們需要對系統的所有資源進行許可權控制,那麼系統中的資源包括哪些呢

原創基於SpringMVC的註解式許可權控制--轉載請註明出處

1. 開發目標 在Shiro的許可權分配中,存在@RequiresPermissions註解進行許可權的控制,該註解規定了所進行了註解的方法,只能被具有某些許可權的人進行訪問,且許可權之間為&的關係。這個許可權控制是不符合我們所需要的許可權控制需求的。(我們所需要的是具有某

Kubernetes三小時攻克 Kubernetes!(2)為每個服務創建容器鏡像

優點 可能 意思 localhost 內容 env 只需要 時間 img 容器是什麽 Kubernetes 是容器管理平臺。可想而知我們需要容器去管理它們。但是容器是什麽?Docker 官方文檔的最佳答案如下: 容器映像是輕量級的、獨立的、可執行軟件包,包含所有可運行的東

原始碼基於圖割的廣義快速近似能量最小化α擴充套件β收縮移動

基於圖割的廣義快速近似能量最小化:α擴充套件β收縮移動 我們提出了α擴充套件β收縮移動演算法,這是廣泛使用的近似能量最小化的αβ交換和α-擴充套件演算法的簡單推廣。 We present α-expansion β-shrink moves, asimple

微控制器基於有方GPRS的智慧電梯控制系統

前一篇文章《時鐘及溫度的顯示》中所介紹的作品,是作為一個微控制器新手在暑假學了一個月的微控制器之後,做的第一個綜合性作品,涵蓋了二極體、蜂鳴器、數碼管、液晶屏、按鍵、時鐘晶片、溫度感測器的控制操作。做完這個之後,也沒碰過微控制器了。在大三開始的時候,由於和同學參

Kubernetes最佳實踐3服務部署與彈性伸縮

作者:彭靖田 在Kubernetes的世界中,一切服務都是跑在容器中的,最簡單的容器組是Pod。基於現實世界中的具體任務,Kubernetes抽象了更高階的容器組,如:ReplicaSet、Deployment、Job等。對於Web型別的長週期服務來說,重點考察兩個需求:

C#自定義控制元件WinForm將其它應用程式窗體嵌入自己內部

PS:文末的附件已更新,這次我放到部落格園裡面了,不會彈出廣告,放心下載,O(∩_∩)O謝謝! 這是最近在做的一個專案中提到的需求,把一個現有的窗體應用程式介面嵌入到自己開發的窗體中來,看起來就像自己開發的一樣(實際上……跟自己開發的還是有一點點區別的,就是內嵌程式和宿

圖文詳解基於角色許可權控制模型RBAC

我們開發一個系統,必然面臨許可權控制的問題,即不同的使用者具有不同的訪問、操作、資料許可權。形成理論的許可權控制模型有:自主訪問控制(DAC: Discretionary Access Control)、強制訪問控制(MAC: Mandatory Access Control)、基於屬性的許可權驗證(ABAC

轉載史上最全TensorFlow 好玩的技術、應用和你不知道的黑科技

tube map 高性能 知識 seq 出現 執行時間 mes lex 【導讀】TensorFlow 在 2015 年年底一出現就受到了極大的關註,經過一年多的發展,已經成為了在機器學習、深度學習項目中最受歡迎的框架之一。自發布以來,TensorFlow 不斷在完善並增加新

Rpc基於開源Dubbo分布式RPC服務框架的部署整合

c-s 基於 1.8 git 編譯 handle direct 有著 ride 一、前言 Dubbo 作為SOA服務化治理方案的核心框架,用於提高業務邏輯的復用、整合、集中管理,具有極高的可靠性(HA)和伸縮性,被應用於阿裏巴巴各成員站點,同時在包括JD、當當在內的眾多互

自動化基於Spark streaming的SQL服務實時自動化運維

body oop nbsp define mysq tco source font getc 設計背景 spark thriftserver目前線上有10個實例,以往通過監控端口存活的方式很不準確,當出故障時進程不退出情況很多,而手動去查看日誌再重啟處理服務這個過程很低效

HTML瀏覽器內核控制meta name="renderer" 說明文檔

ica code 功能 head 建議 ans idt rda adc 背景介紹 由於眾所周知的情況,國內的主流瀏覽器都是雙核瀏覽器:基於Webkit內核用於常用網站的高速瀏覽。基於IE的內核用於兼容網銀、舊版網站。以360的幾款瀏覽器為例,我們優先通過Webkit

基於Map的簡易記憶化緩存

還在 自己 == map cti extends inter end 參考資料 看到文章後,自己也想寫一些關於這個方面的,但是覺得寫的估計沒有那位博主好,而且又會用到裏面的許多東西,所以幹脆轉載。但是會在文章末尾寫上自己的學習的的東西。 原文出處如下: http://www

redis基於redis實現分布式並發鎖

val 內容 等待隊列 過多 具體實現 exec ret abs con 基於redis實現分布式並發鎖(註解實現) 說明   前提, 應用服務是分布式或多服務, 而這些"多"有共同的"redis";   GitHub: https:

基於localStorage的資源離線和更新技術

同時 前端 event 原來 read 前端資源 獲取 tex tor ServiceWorker的資源離線與更新 ServiceWorker是替代Application Cache的機制,目前為止其兼容性很差。 localStorage資源離線緩存與更新 基本思路:將

docker基於Dockerfile構建mysqld服務鏡像

mysqld服務鏡像一 創建構建目錄結構 # mkdir -pv docker/mysql# cd docker/mysql/二 寫Dockerfile 文件# vim Dockerfile #此處 sshd:latest 為上篇文章中創建的鏡像#此Dockerfile 「dookerpool」的

docker基於Dockerfile構建monogdb服務鏡像

monogdb服務鏡像① 查看內容,包括寫好的Dockerfile和若幹腳本等。從GitHub Dockerpool社區賬戶下載Mongodb鏡像項目:git clone https://github.com/DockerPool/Mongodb.git 並修改文件[root@docker1 Mongodb]

轉載Android Bug分析系列第三方平臺安裝app啟動後,home鍵回到桌面後點擊app啟動時會再次啟動入口類bug的原因剖析

特殊 返回 androidm android系統 圖片 管理 相關 OS 簡便 前言   前些天,測試MM發現了一個比較奇怪的bug。   具體表現是:   1、將app包通過電腦QQ傳送到手機QQ上面,點擊安裝,安裝後選擇打開app (此間的應用邏輯應該是要觸發 【閃屏頁

ASP.NET CORE系列基於Claim登錄授權

amp account 技術 time 其他 cookie first arp 好的 介紹 關於什麽是Claim? 可以看看其他大神的文章: http://www.cnblogs.com/jesse2013/p/aspnet-identity-claims-base