【k8s系列】RBAC

原创 已于 2025-02-20 17:04:23 修改 · 104 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器

于 2023-04-10 15:39:06 首次发布
本文介绍了Kubernetes中保障API安全的三个关键机制:认证、授权和准入控制。认证包括HTTPS证书、HTTPToken和HTTP基本认证;授权主要通过RBAC实现细粒度访问控制;准入控制则在授权后对请求内容进行验证或修改。文章还详细阐述了ServiceAccount、Role、ClusterRole、RoleBinding和ClusterRoleBinding的使用和配置步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

kubernetes对API访问提供了三种安全访问控制措施:认证,授权,准入控制。

  • 认证解决用户是谁的问题
  • 授权解决用户能做什么的问题
  • 准入控制是资源管理方面的作用。
  • 集群的所有操作基本上都是通过kube-apiserver组件进行,它提供http Restful 形式的api供集群内外客户端调用。

认证

对外不暴露8080端口,只内部访问,对外使用6443端口。(k8s不直接管理用户,不创建user对象,也不存储)

认证方式有:

  • HTTPS证书认证,基于ca证书
  • http token认证,通过token识别用户
  • http基本认证,用户名+密码

授权

对集群资源的访问控制,通过检查请求包含的相关属性值,与相对应的访问策略相比较,api请求必须满足某些策略才能被处理。
授权请求属性:user、group、namespace、请求方法(get、post、update、delete)
授权插件:RBAC、ABAC

准入控制

在授权后对请求做进一步的验证或添加默认参数,还处理请求内容,仅对创建、更新、删除、连接等有效,对读操作无效

注意

认证授权过程只存在HTTPS形式的api中。如果客户端使用http连接到kube-apiserver就不会进行认证授权的。可以这么设置,在集群内部组件间通信使用http,集群外部就使用HTTPS,既增加安全性,也不至于太复杂。


RBAC

让用户能够访问kubernetes API 资源的授权方式。基于角色的访问控制机制(Role-Based Access),角色与权限相关联,用户通过成为适当角色的成员而得到这些角色的权限。
可以利用kubectl 或者 kubernetes api 进行配置,可以授权给用户,让用户有权进行授权管理,无需接触节点,直接进行授权。

主体

user、group、serviceAccount

部署步骤

  • 新建命名空间
  • ns里新建pod
  • 创建角色role
  • 创建角色绑定rolebinding
  • 生成证书,识别身份
  • 查看pod、svc

ServiceAccount

Service account 是为了方便 Pod 里面的进程调用 Kubernetes API 或其他外部服务而设计的, service account 则是仅局限它所在的namespace;
每个 namespace 都会自动创建一个 default service account,Token controller 检测 service account 的创建,并为它们创建 secret;
开启 ServiceAccount Admission Controller 后,每个 Pod 在创建后都会自动设置 spec.serviceAccountName 为 default(除非指定了其他 ServiceAccout);
验证 Pod 引用的 service ac

最低0.47元/天 解锁文章

200万优质内容无限畅学
K8s系列之:KubernetesRBAC (Role-Based Access Control)
zhengzaifeidelushang的博客
07-06 125
K8s系列之:KubernetesRBAC (Role-Based Access Control)
k8s rbac
SHELLCODE_8BIT的博客
03-10 2102
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1180
K8s上的RBAC设计和实现方式说明
k8s安全框架RBAC
qq_73797346的博客
11-04 959
介绍K8SRBAC,和丰富的授权案例。 以及dashboard组件如何部署授权
K8S RBAC介绍
小单的博客专栏
03-19 5450
Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。所以RBAC也就...
第八篇:k8s基于RBAC的认证、授权介绍和实践
Mr.ACO的专栏
12-05 879
第八篇:k8s基于RBAC的认证、授权介绍和实践
k8s 基于RBAC的认证、授权介绍和实践
「 虚幻私塾」
01-23 987
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的,每个请求都需要经过合规检查,包括Authentication(身份验证)、Authorization(授权)和Admission C
k8s搭建dashboard所需文件recommended.yaml、rbac.yaml
01-23
在构建和部署Kubernetes (k8s) 系统时,搭建集群的管理界面是一个常见的需求,以便于更直观地管理Kubernetes资源和监控集群状态。Kubernetes Dashboard正是一款流行的开源Web界面,用于对Kubernetes集群进行日常管理...
k8srbac权限管理设计
最新发布
02-07
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] --- apiVersion: rbac...
K8s—使用 RBAC 鉴权
Yuanshigou9的博客
12-30 859
K8s:Role、ClusterRole、RoleBinding、ClusterRoleBinding
k8s - 安全认证(RBAC
栋院
03-18 3123
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
[k8s]k8s rbac语法
毛台
05-19 926
https://kubernetes.io/docs/admin/authorization/rbac/#role-and-clusterrole
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1733
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
K8S安全-RBAC
运维@小兵的博客
11-22 1541
文章目录一、Kubernetes 安全框架`1.1.鉴权(Authentication)``1.2.授权(Authorization)``1.3.准入控制(Admission Control)`二、基于角色的权限访问控制:RBAC`2.1.角色``2.2.角色绑定``2.3.主体(subject)`三、为devops用户授权访问default命名空间权限`3.1.用K8S CA签发客户端证书`3.1.1.[Shell脚本安装cfssl](https://blog.csdn.net/anqixiang/art
k8s-RBAC
kxq的博客
12-22 683
一、认证 1.进入到证书目录 cd /etc/kubernetes/pki/ 2.创建kxq用户的私钥 (umask 077; openssl genrsa -out kxq.key 2048 ) 3.创建kxq用户的证书 openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq" 4.利用ca.crt,ca.key进行签证 [root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.cr
k8s:RBAC
m0_50434960的博客
03-12 572
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
K8sRBAC模型
s1056481432的博客
03-16 294
RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群中的身份有两种:用户(User)和服务账号(Service Account),其中service account是k8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa中的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 2815
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值