Kubernetes集群RBAC授权案例(一)通过用户账号的方式分配单独Namespace的权限(四十)

最新推荐文章于 2024-09-24 22:39:45 发布
最新推荐文章于 2024-09-24 22:39:45 发布
阅读量5.5k 收藏 13
点赞数 22
CC 4.0 BY-SA版权
分类专栏: 《Kubernetes集群方方面面进阶之路》 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44953658/article/details/122614242
本文详细介绍了如何为用户账号分配特定Namespace的权限,通过创建用户、ClusterRole、RoleBinding,使用户仅能操作指定Namespace的pods和deployments资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过用户账号的方式分配单独Namespace的权限

文章目录

1.案例描述

创建一个用户,仅拥有对know-system命名空间下的pods、deployments资源操作权限,采用RoleBinding绑定CLusterRole的方式来实现。

大致实现思路:

​ 1.生成用户的证书文件key

​ 2.通过apiserver生成证书请求

​ 3.通过k8s的api的ca证书签发用户的证书请求

​ 4.配置k8s设置集群、创建用户、配置上下文信息

​ 5.创建ClusterRole、RoleBinding资源

2.创建用户账号

1.创建证书文件
[root@k8s-master ~]# cd /etc/kubernetes/pki/
[root@k8s-master /etc/kubernetes/pki]# (umask 077;openssl genrsa -out knowman.key 2048)
Generating RSA private key, 2048 bit long modulus
....................................................................................+++
................+++
e is 65537 (0x10001)

2.使用apiserver的证书签
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Kubernetes集群方方面面实战教程学习线路指南
江晓龙的博客
10-31 7万+
Kubernetes集群方方面面实战教程学习线路指南 学习路线指南 欢迎大家来到jiangxl~的《Kubernetes集群方方面面进阶之路》专栏,本文给大家详细列出Kubernetes集群方方面面每章节文章指南,大家可以根据自己的需求阅读想要学习的文章。 本专栏涵盖Kubernetes集群方方面面的技术总结,包括高可用集群、Pod资源、Pod资源控制器、配置存储、数据存储、安全框架等各方面深入解析、Helm包管理机制、Istio网格服务,以及基于Kubernetes集群的CI/CD流程设计及实现,总文章
kubernetes集群中-RBAC用户角色资源权限详解
weixin_39941298的博客
04-26 1121
我们通过k8s各组件架构,知道各个组件之间是使用https进行数据加密及交互的,那么同理,我们作为“使用”k8s的各种资源的使用者,也是通过https进行数据加密的;k8s通过我们家目录下的证书来判断我们是谁?通过证书内容来认定我们的权限;用户证书的位置-rw------- 1 root root 5643 3月 29 16:04 /root/.kube/config1,User3,Group本质上讲,在k8s系统中,用户,就是个文件,这个文件在当前登录用户的家目录下;
k8s RBAC授权普通系统用户对namespace访问权限
疯飙的蜗牛
08-11 1154
背景:最近遇到个问题,那就是需要给别人共享Kubernetes 的某个资源的使用和访问权限,这个仅仅存在于某个 namespace 下,但是我又不能把管理员权限全都给它,我想只给他授予这Namespace 下的权限,那应该怎么办呢?比如我这边是需要只想授予 ads这个用户 对 data 这个 Namespace权限,这里我就需要利用到 Kubernetes 里面的 RBAC 机制来实现了,下面记录了我的操作流程。四、导出 ads文件的config配置文件。、创建ads用户的key。
如何切换用户管理kubernetes集群
m0_63190689的博客
01-03 740
关于kuberntes 切换用户管理的相关信息 欢迎起探讨学习
【云原生Kubernetes系列第六篇】Kubernetes的认证和授权
Stevelu的技术博客
09-11 1479
为解决这个问题,就有了CA证书认证机构,就是个中间商,是给所有人颁发证书的这样个机构,所有正常的网站的证书都在这个地方存储,当A问B索要公钥拿到公钥后,他就要去CA查询这个公钥是否合法,看这个公钥是存在的,是哪个公司的,他的域名是什么,包括所有人是谁,各种各样的信息在CA都有备案,CA告诉A这个公钥是我颁发的,那么A使用这个公钥就是安全的。角色包含名字、权限、操作等信息。此时使用的是不同的算法,产生的密钥也不同,加密的密钥和解密的密钥互为个密钥对,加密的称为公钥,解密的称为私钥。
k8s实践(5)k8s的命名空间Namespace
黄规速博客:学如逆水行舟,不进则退
06-11 2万+
1、什么是Namespace? 你可以认为namespaces是你kubernetes集群中的虚拟化集群。在Kubernetes集群中可以拥有多个命名空间,它们在逻辑上彼此隔离。 他们可以为您和您的团队提供组织,安全甚至性能方面的帮助! “default” Namespace 大多数的Kubernetes中的集群默认会有个叫default的namespace。实际上,应该是3个: d...
K8s rbac namespace权限设置
小学徒
05-24 1277
在K8S master节点上创建Role和RoleBinding的yaml文件 #vi role-username.yaml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list","...
kubernetes权限案例1:配置个用户访问2个名称空间的操作访问权限——创建altassion用户能访问confluence和jira名称空间的所有权限资源为例(超详细)
weixin_39941298的博客
04-26 1311
kubernetes个用户来关联两个名称空间的权限操作案例,超级详细
文搞定Kubernetes v1.27.4集群环境搭建
最新发布
专注于系统运维、数据库、DevOps、虚拟化技术、docker、kubernetes、等云原生技术。
09-24 1007
CSR是Certificate Signing Request的英文缩写,即证书签名请求文件,是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。CSR是以-----BEGIN CERTIFICATE REQUEST-----开头,-----END CERTIFICATE REQUEST-----为结尾的base64格式的编码。
K8S集群创建用户并赋权访问特定namespace
我的博客
06-01 3908
文章目录环境集群搭建创建HDFS集群目的创建用户赋权切换用户验证 环境 软件 版本 centos 7.4-1708 docker 18.03.0-ce kubernetes 1.17.0 集群搭建 https://blog.csdn.net/zz_aiytag/article/details/103816076 创建HDFS集群 https://blog.csdn.net/zz_aiytag/article/details/106398381 在这篇文章里,我创建了个myns1
Kubernetes之Kubeconfig实现多集群、多用户接入的组织、管理
山不转的博客
07-24 5887
概述 kubectl命令访问集群时,默认情况下在$HOME/.kube目录下寻找名为config的配置文件,配置文件中包含集群ip地址、端口号、用户名、密码、证书、名称空间等信息,kubectl据此建构访问集群的上下文。也可以通过KUBECONFIG环境变量或者--kubeconfig覆盖默认配置文件。在实际应用中,往往需要同时使用多套环境如开发、测试、显示、生产等。个kubectl客户端需要...
RBAC: K8s基于角色的权限控制
07-09 847
RBAC: K8s基于角色的权限控制 文章目录RBAC: K8s基于角色的权限控制ServiceAccount、Role、RoleBindingStep 1:创建个ServiceAccount,指定namespaceStep 2:创建Role,设置权限apiGroups,resource的对应关系verbs常用权限组合Step 3:创建RoleBindingServiceAccount、ClusterRole、ClusterRoleBinding快速创建集群最高权限管理员通过SA、ClusterRol
Kubernetes RBAC 管理用户权限太复杂,这款图形工具助你轻松解决!
easylife206的专栏
10-27 998
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Permission Manager 是个简单便捷的 RBAC 管理界面工具,支持通过 Web 界面创建...
【DevOps基础篇之k8s】Kubernetes最佳实践之:命名空间(Namespace
热门推荐
欧阳天涵的专栏
12-19 3万+
什么是Namespace? 你可以认为namespaces是你kubernetes集群中的虚拟化集群。在Kubernetes集群中可以拥有多个命名空间,但他们之间是相互独立的。它们在组织、安全甚至效率方面都有所帮助。 “default” Namespace 大多数的Kubernetes中的集群默认会有个叫default的namespace。实际上,应该是3个: default:你的serv...
RBAC角色访问控制
教Linux的李老师
01-29 3455
组可以包含其他组(以实现权限的继承),也可以包含用户,组内用户会继承组的权限。User与Group之间存在多对多的关系,且Group可以层次化,以满足不同层级的权限控制要求。:角色,代表定数量的权限的集合。它是权限分配的单位与载体,旨在隔离User与Privilege的逻辑关系。:操作,表明对What进行How的操作,即Privilege+Resource的组合。:具体的权限,例如Privilege,包括正向授权与负向授权。,(权限作用域只限于服务账户的命名空间)般用来。How(以什么方式)
kubernetes rabc 的sa创建并限制多个namespace
mofiu的博客
07-02 2210
在实际k8s的应用中可能会限制用户对namespace的访问,个账号访问多个namespaces 情况,经过测试后设置如下, 创建个账号,创建sa后系统会自动创建kubernetes.io/service-account-token类型的secret kubectl create serviceaccount updateuser 绑定集群权限,(分别绑定在两个不通的namespaces,绑定哪个namesapce就有哪个namespace相应的权限) kubectl create rolebi
Kubernetes RBAC 详解
weixin_38261043的博客
08-20 848
原文链接:Kubernetes RBAC 详解 前面两节课我们学习了Kubernetes中的两个用于配置信息的重要资源对象:ConfigMap和Secret,其实到这里我们基本上学习的内容已经覆盖到Kubernetes些重要的资源对象了,来部署个应用程序是完全没有问题的了。在我们演示个完整的示例之前,我们还需要给大家讲解个重要的概念:RBAC - 基于角色的访问控制。 RBAC使...
配置kubeconfig_kubectl use-context配置多集群访问
weixin_34883093的博客
01-28 3438
kubectl use-context配置多集群访问 今天在rancher平台上进行日常维护。在多个集群切换时,鼠标顿点点点还是有点不够顺畅。于是在"瑞斯拜"的chrome里面找到了k8s有关多集群访问配置的桥段,下面根据实践过程做简单描述使用 kubeconfig 文件组织集群访问 通过 kubectl 连接k8s集群时,默认情况下,kubectl 会在 $HOME/.kube 目录下查找名为...
k8s中,怎么在container中切换角色
班门弄斧
12-21 1555
工作中,需要在k8s中调试container,但是container中有可能很多东西又没有,比如vim等,没有就无法修改代码,想使用su 更改为root用户又不知道密码。可以使用以下方法。 直接修改pod的yaml文件 containers: - name: ... image: ... securityContext: runAsUser: 0 这样登录进去就是root角色,0指root用户的uid。在里面就可以安装自己想安装的工具进行调试。 ...
评论 32
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jiangxl~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值