2. 程式人生 > >K8S RBAC

K8S RBAC

阿新 發佈:2018-11-14


API Server 內部通過使用者認證後,然後進入授權流程。對合法使用者進行授權並且隨後在使用者訪問時進行鑑權,是許可權管理的重要環節。
在 kubernetes 叢集中,各種操作許可權是賦予角色(Role 或者 ClusterRole)的。通過建立 RoleBinding 或者 ClusterBinding 把 使用者(User),使用者組(Group)或服務賬號(Service Account)繫結在 Role 或 ClusterRole 上。這樣使用者,使用者組或者服務賬號就有了相對應的操作許可權。
這裡有個需要注意的地方
ClusterRoleBinding 只能繫結 ClusterRole,而 RoleBinding 可以繫結 Role 或者 ClusterRole。
根據上圖:
1

.User1 通過 RoleBinding 把 Role 繫結,可以在 Namespace A 獲得 Role 中的許可權;
2.User2 和 User3 通過 RoleBinding 把 ClusterRole 繫結,這兩個使用者即可以在 Namespace B 空間中獲得 ClusterRole 許可權;
3.如果 User1 通過 ClusterRoleBinding 把 ClusterRole 繫結,這個使用者即可在所有的 Namespace 空間中獲得 ClusterRole 許可權;

建立 role

su - klvchen
cd sa/
kubectl create role pods-reader --verb=get,list,watch --resource=pods --dry-run -o yaml > role-demo.yaml

kubectl apply -f role-demo.yaml 
kubectl get role
kubectl describe role pods-reader

建立 rolebinding

kubectl create rolebinding klvchen-read-pods --role=pods-reader --user=klvchen --dry-run -o yaml > rolebinding-demo.yaml
kubectl apply -f rolebinding-demo.yaml
kubectl describe rolebinding klvchen-read-pods

測試賬號

kubectl config use-context [email protected]
kubectl config view
kubectl get pods

為了方便測試,建立一個新的使用者 ik8s

useradd ik8s
cp -rf .kube/ /home/ik8s/
chown  -R ik8s. /home/ik8s/
su - ik8s
kubectl config use-context [email protected]
kubectl config view

建立 clusterrole

kubectl create clusterrole cluster-reader --verb=get,list,watch --resource=pods -o yaml --dry-run > clusterrole-demo.yaml

kubectl apply -f clusterrole-demo.yaml 

kubectl get rolebinding

# 刪除 klvchen-read-pods ,解除 role 角色 pods-reader 和 user 使用者 klvchen 的繫結關係
kubectl delete rolebinding klvchen-read-pods

建立 clusterrolebinding

kubectl create clusterrolebinding klvchen-read-all-pods --clusterrole=cluster-reader --user=klvchen --dry-run -o yaml > clusterrolebinding-demo.yaml
kubectl apply -f clusterrolebinding-demo.yaml

kubectl describe clusterrolebinding klvchen-read-all-pods

測試

#切換到 ik8s 賬戶
kubectl get pods -n kube-system
# 所有名稱空間都可以正常顯示 pods

使用 rolebinding 關聯 clusterrole

kubectl delete clusterrolebinding klvchen-read-all-pods
kubectl create rolebinding klvchen-read-pods --clusterrole=cluster-reader --user=klvchen --dry-run -o yaml > rolebinding-clusterrole-demo.yaml
kubectl apply -f rolebinding-clusterrole-demo.yaml 

#測試
#切換到 ik8s 賬戶
kubectl get pods 
# 只有預設的名稱空間可以正常顯示 pods

檢視 k8s 叢集中 admin 擁有的許可權

kubectl get clusterrole admin -o yaml
kubectl get clusterrolebinding cluster-admin -o yaml

[[email protected] ~]# kubectl get clusterrolebinding cluster-admin -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: 2018-11-07T10:12:36Z
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "107"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin
  uid: a6252a77-e275-11e8-8c94-cad98100ca95
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:masters                     # admin 所在的組是 system:masters

# kubernetes-admin 是屬於 system:masters 組
[[email protected] ~]# kubectl config view
apiVersion: v1
clusters:
- cluster:
    certificate-authority-data: DATA+OMITTED
    server: https://192.168.0.205:6443
  name: kubernetes
contexts:
- context:
    cluster: kubernetes
    user: klvchen
  name: [email protected]
- context:
    cluster: kubernetes
    user: kubernetes-admin
  name: [email protected]
current-context: [email protected]
kind: Config
preferences: {}
users:
- name: klvchen
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED
- name: kubernetes-admin
  user:
    client-certificate-data: REDACTED
    client-key-data: REDACTED

檢視對應的證書,這裡注意了,證書的有效期為1年

[[email protected] ~]# cd /etc/kubernetes/pki/
[[email protected] pki]# openssl x509 -in ./apiserver-kubelet-client.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3302614080992031284 (0x2dd53e0237bbb234)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Nov  7 10:11:55 2018 GMT
            Not After : Nov  7 10:11:56 2019 GMT
        Subject: O=system:masters, CN=kube-apiserver-kubelet-client
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
...後面資訊忽略

相關推薦

k8s rbac增加user用戶配置roles

als 它的 bar rem ive app 文件 you min 1.k8s增加普通用戶User 普通用戶並不是通過k8s來創建和維護,是通過創建證書和切換上下文環境的方式來創建和切換用戶。其實創建用戶的步驟,就是手動部署k8s集群裏的一個步驟。創建過程見下: 創建用戶證

k8s rbac 權限認證實踐操作1

pac 並不是 eat stat svc The 測試 -h rom 1.概述:使用前面新加的User/jane分別測試role和clusterrole還有rolebinding和clusterrolebinding的各種不同組合情況。 2.前面授予jane的role和ro

k8s rbac serviceaccount基礎

usg 通過 clas HSM not eid account lec 資源 1.Service Account概念的引入是基於這樣的使用場景:運行在pod裏的進程需要調用Kubernetes API以及非Kubernetes API的其它服務。Service Accoun

k8s rbac手動創建sa並在pod使用

nts clusterip odi points latest exe created tor set 手動生成sa指定pod使用這個sa操作記錄 創建新的namespace和sa [root@k8s-master2 ~]# kubectl create namespace

K8S RBAC

API Server 內部通過使用者認證後,然後進入授權流程。對合法使用者進行授權並且隨後在使用者訪問時進行鑑權,是許可權管理的重要環節。 在 kubernetes 叢集中,各種操作許可權是賦予角色(Role 或者 ClusterRole)的。通過建立 RoleBinding 或者 ClusterBindi

kubernetes實戰(八):k8s叢集安全機制RBAC

1、基本概念   RBAC(Role-Based Access Control,基於角色的訪問控制)在k8s v1.5中引入,在v1.6版本時升級為Beta版本,併成為kubeadm安裝方式下的預設選項,相對於其他訪問控制方式,新的RBAC具有如下優勢:   - 對叢集中的資源和非資源許可權均有完整的覆蓋  

Kubernetes K8S之鑑權RBAC詳解

  Kubernetes K8S之鑑權概述與RBAC詳解   K8S認證與授權   認證「Authentication」 認證有如下幾種方式: 1、HTTP Token認證:通過一個Token來識別合法使用者。 HTTP Token的認證是用一個很長的特殊編碼方式的並且難以

k8sRBAC授權模式

導讀 上一篇說了k8s的授權管理,這一篇就來詳細看一下RBAC授權模式的使用 RBAC授權模式 基於角色的訪問控制,啟用此模式,需要在API Server的啟動引數上新增如下配置,(k8s默然採用此授權模式)。 --authorization-mode=RBAC      /etc/k

基於thinkphp的RBAC權限控制

名稱 bsp 基於 也有 沒有權限 path 我們 ids images RBAC Role-Based Access Control 權限控制在後臺管理中是十分常見的,它的模型大體上是下面這張圖的形式 我用的字段和上面不一樣,圖只是個示例 一個簡易的權限控制模型只需要

Micro-PaaS(Docker+K8S)

無效 實時 不變 對象 auto deploy 宿主機 scale span 1、概述 Docker是一種Linux容器工具集,它是為構建(Build)、交付(Ship)和運行(Run)分布式應用而設計的。 Kubernates:是開源的容器集群管理系統。它構建在Docke

RBAC權限設計實例

log nbsp blog video http ins mooc 權限 lin http://blog.csdn.net/painsonline/article/details/7183629 http://www.noahweb.net/mail/2/Project.

yii rbac管理

read pac phpstorm 好的 span from 繼續 action extend 以下是Controller代碼 <?php /** * Created by PhpStorm. * User: zhoukang * Date: 2017/6/1

yii2 rbac權限控制之菜單menu詳細教程

cheng gda zhong ssl print ads xiv sheng bce %E5%90%91%E9%87%8F%E8%87%AA%E5%9B%9E%E5%BD%92%E6%A8%A1%E5%9E%8BVS%E9%A3%8E%E9%99%A9%E4%BB%B7%

Azure RBAC(Roles Based Access Control)正式上線了

如果 ext 授權 開發 fonts style clas 應用程序 tex 期盼已久的Azure RBAC(Roles Based Access Control)正式上線了。在非常多情況下。客戶須要對各種類型的用戶加以區分,以便做出適當的授權決定。基於角色的訪問控制

k8s常用命令

cas custom 檢查 流程 nco mage 詳細 json 輸出 查看集群信息: [[email protected]/* */ pods]# kubectl cluster-infoKubernetes master is running at htt

K8S基礎概念

使用 外部 清理 lac six 基本上 新的 容器 所有 一、核心概念 1、Node Node作為集群中的工作節點,運行真正的應用程序,在Node上Kubernetes管理的最小運行單元是Pod。Node上運行著Kubernetes的Kubelet、kube-proxy

使用kubeadm安裝k8s集群故障處理三則

使用 網上 ack uber == 聯網 ice init etc 最近在作安裝k8s集群,測試了幾種方法,最終覺得用kubeadm應該最規範。 限於公司特別的網絡情況,其安裝比網上不能訪問google的情況還要艱難。 慢慢積累經驗吧。 今天遇到的三則故障記下來作參考

自己編譯生成k8s的rpm包

ont for oda 服務 cto put -i ews str 我指的是以下幾個安裝包: -rw-r--r--. 1 root root 8976134 Jul 13 10:19 kubeadm-1.7.0-0.x86_64.rpm-rw-r--r--. 1 root

項目後臺管理之權限管理(RBAC)

如果 ont logs 權限管理 設計思想 更多 表設計方法 com alt 首先給沒有做過權限的小夥伴普及一下,權限管理主要思想就是采用RBAC(Role-Based Access Control)的設計方法。 在我們的項目中使用的是基本的5張表設計方法,包括(用戶表,用

中國何時亮劍 k8s搭建

中國何時亮劍前言 最近中國和印度的局勢也是愈演愈烈。作為一個愛國青年我有些憤怒,但有時又及其的驕傲。不知道是因為中國外交強勢還是軟弱,怎樣也應該有個態度吧?這是幹嘛?就會抗議 在不就搞一些軍演。有毛用啊? 自己判斷可能是國家有自己的打算吧!就好比獅子和瘋狗一樣何必那!中國和印度的紛紛擾擾,也不知道怎樣霸氣