k8s权限控制RBAC

最新推荐文章于 2025-06-09 15:54:12 发布
原创 最新推荐文章于 2025-06-09 15:54:12 发布 · 1.6k 阅读 · 0
标签
#golang #kubernetes

1、简介

kubernetes集群所有的交互都是通过apiServer来进行的,因此k8s对权限的控制就尤其重要。

从1.6版本起,kubernetes默认启用RBAC访问控制策略。RBAC(Role-Based Access Control):基于角色的访问控制

相关概念:

RBAC中4种顶级资源:Role、ClusterRole、RoleBinding、ClusterRoleBinding

  • Role:角色,包含一组权限的规则。没有拒绝规则,只是附加运行。Namespace隔离,只作用于命名空间

  • ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace

  • RoleBinding:作用于命名空间内,将ClusterRole或Role绑定于User、Group或ServiceAccount

  • ClusterRoleBinding:作用于整个集群,将ClusterRole或Role绑定于User、Group或ServiceAccount

  • 用户:k8s有两种用户:User和ServiceAccount。其中user是给人来使用的,serviceAccount是给进程来使用的。当一个运行在k8s中的进程需要访问apiServer时,我们就需要给其创建一个serviceAccount,并通过role来限制这个serviceAccount的权限,最后通过rolebinding将role绑定到该serviceAccount上。

可以通过kubectl create 来创建role、clusterrole、rolebinding、clusterrolebinding和serviceAccount

在这里插入图片描述

 

1.1 创建serviceAccount

命令如下:

kubectl create sa <Name>
或
kubectl create serviceAccount <Name>


# 例如
kubectl create serviceaccount my-sa
  • Name: 要创建的serviceAccount的名字

 

1.2 创建role

命令如下:

kubectl create role <RoleName> [options]

常用options:
    --resource=[]:
        Resource that the rule applies to
    --verb=[]:
        Verb that applies to the resources contained in the rule
        
# 例如: 创建一个名为role-test的role,可以操作的资源为pod和deployment,可以进行的操作为get,create,list,watch,update,delete
kubectl create role role-test --resource=pod,deployment --verb=get,create,list,watch,update,delete
  • RoleName:要创建的role的名字
  • –resource:指定该role可以操作的资源,例如pod、deployment、service等
  • –verb:指定该role对资源可以进行的操作,例如get、list、watch、update、create、delete、patch等

 

1.3 创建rolebinding

命令如下:

kubectl create rolebinding <RBNAME> [options]

常用options:
   --role='':
        Role this RoleBinding should reference
   --serviceaccount=[]:
        Service accounts to bind to the role, in the format <namespace>:<name>. The flag can be
        repeated to add multiple service accounts.
   --clusterrole='':
        ClusterRole this RoleBinding should reference

# 例如 将role-test和my-sa进行绑定,绑定后my-sa就拥有了role中定义的规则
kubectl create rolebinding rb-test --role=role-test --serviceaccount=my-sa
  • RBNAME:rolebinding的名字
  • –role:要进行绑定的role的name
  • –clusterrole:要进行绑定的clusterrole的name
  • –serviceaccount:要进行绑定的serviceaccount的name

 

2、实战案例

下面将使用client go编写一个程序,该程序可以对default命名空间下的deploy进行create、update、get和delete的操作。最后将该程序部署到k8s的deploy中。

代码如下:

package main

import (
	"context"
	"github.com/gin-gonic/gin"
	appsv1 "k8s.io/api/apps/v1"
	corev1 "k8s.io/api/core/v1"
	v1 "k8s.io/apimachinery/pkg/apis/meta/v1"
	"k8s.io/client-go/kubernetes"
	appsresv1 "k8s.io/client-go/kubernetes/typed/apps/v1"
	"k8s.io/client-go/rest"
	"k8s.io/client-go/util/retry"
	"k8s.io/klog/v2"
	"net/http"
)

func main() {
   
   

	// 1、创建配置文件,由于要在k8s中运行,使用InClusterConfig可以获取到serviceAccount的配置
	config, err := rest.InClusterConfig()
	if err != nil {
   
   
		panic(err)
	}

	// 2、创建clientset
	clientset, err := kubernetes.NewForConfig(config)
	if err != nil {
   
   
		panic(err)
	}
	deployClient := clientset.AppsV1().Deployments(corev1.NamespaceDefault)

	r := gin.Default()
	r.PUT("/deploy", func(c *gin.Context) {
   
   
		if err := CreateDeploy(deployClient); err != nil {
   
   
			JsonErr(c, err)
			return
		}

		c.JSON(http.StatusOK, gin.H{
   
   
			"message": "success",
		})
最低0.47元/天 解锁文章
二十、K8S-1-权限管理RBAC详解
爱吃西红柿的博客
02-10 2418
RBAC API中,通过如下步骤进行授权在定义角色时会指定此角色对于资源的访问控制规则Role:角色,包含一组权限的规则,没有拒绝规则,只是附加运行,namespaces隔离,只作用于命名空间。授权特定命名空间的访问权限ClusterRole:和Role的区别,Role只作用于命名空间内,ClusterRole作用于整个集群,也就是所有Namespace。
K8S常用指令(必备)
weixin_72098711的博客
10-08 1262
3. kubectl autoscale deployment {name} --cpu-percent={percent} --min={min} --max={max} - 自动扩缩deployment的pod数量。2. kubectl expose deployment {name} --port={port} --target-port={targetport} --type={type} - 创建service。
k8s安全控制、授权管理介绍
树下一少年的博客
03-09 1733
两者最终都是面向kubernetes的单独位于kubernetes外的用户账号kubernetes管理账号,为pod中的服务进程在访问kubernete时提供身份标识我是以kubeadm安装的kubernetes,主要是用到rbac的角色访问控制。
kubernetesk8s)之rbac权限管理详解
qq_44823950的博客
08-14 2593
kubernetesk8s)之rabc权限
kubernetes--RBAC权限管理
m0_57911290的博客
01-15 9748
calico/coredns/dashboard >>都需要访问apiserver简称SA,是一种用于让程序访问K8sAPI的服务账号1.当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限2.当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。
k8s RBAC权限控制
2401_86274572的博客
08-04 1383
使用k8s RBAC权限控制
Kubernetes(K8S) 之 RBAC 权限控制
li1121567428的博客
05-17 592
Kubernetes 权限控制 RBAC 1. Kubernetes中的用户 User:通常是人来使用,而ServiceAccount是某个服务/资源/程序使用的User独立在K8S之外,也就是说User是可以作用于全局的,在任何命名空间都可被认知,并且需要在全局唯一 Service Account:而ServiceAccount作为K8S内部的某种资源,是存在于某个命名空间之中的,在不同命名空间中的同名ServiceAccount被认为是不同的资源。 1.1. 用户验证 尽管K8S认知用户靠的只是用户的名
k8s RBAC 多租户权限控制实现
zhd930818的博客
04-21 8085
更多kubernetes文章:k8s专栏目录访问到权限分两部分1.Authenticating认证授权配置由kube-apiserver管理这里使用的是 Static Password File 方式。apiserver启动yaml里配置basic-auth-file即可,容器启动apiserver的话要注意这个文件需要是在容器内能访问到的。(可以通过挂载文件,或者在已经挂载的路径里增加配置文件)...
Kubernetes RBAC权限控制:从入门到实战
like21a的博客
05-31 885
Role:作用于单个命名空间的权限规则。:作用于整个集群的权限规则(如节点管理、集群级操作)。示例:定义一个只允许读取Pod的角色kind: Rolemetadata:namespace: default # 限定命名空间rules:- apiGroups: [""] # 核心API组(Pod属于此组)resources: ["pods"] # 允许操作的资源类型verbs: ["get", "list", "watch"] # 可执行的操作RBACKubernetes安全体系的基石。
看一眼就会的k8s权限管理手把手教学
记忆的博客
11-18 3768
Role #角色,基于名称空间下的资源RoleBinding #角色绑定,基于名称空间下的资源ClusterRole #集群角色,基于集群级别下的资源ClusterRoleBinding #集群角色绑定,基于集群级别下的资源其中,Role和Role是针对于名称空间级别,授予其所在名称空间范围内的许可权限。而ClusterRole和ClusterRoleBinding是针对于集群级别,授予其所在集群范围内的许可权限
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 3185
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
K8S学习笔记-003】权限管理RBAC
DeusExMachina_V的博客
08-05 1585
Role RoleBinding ClusterRole ClusterRoleBinding ServiceAccount
Kubernetesk8s权限管理RBAC详解
匠人精神,持之以恒!
10-16 8973
文章目录一、简介二、K8s三种认证方式三、用户分类四、K8s权限控制(以ServiceAccount展开讲解)1)介绍2)Role和ClusterRole3)RoleBinding和ClusterRoleBinding1、Role角色绑定ServiceAccount2、ClusterRole角色绑定ServiceAccount五、实战1)User1、创建K8S 用户2、对用户授权2)Group1、创建K8S 用户和用户组2、对组授权3)ServiceAccount4)为ServiceAccount生成Tok
K8s RBAC使用
tamako0v0的博客
07-23 959
1.RBAC简介 1.1 基本概念   RBAC(Role-Based Access Control,基于角色的访问控制)在k8s v1.5中引入,在v1.6版本时升级为Beta版本,相对于其他访问控制方式,RBAC具有如下优势: 对集群中的资源和非资源权限均有完整的覆盖 整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kubectl或API进行操作 可以在运行时进行调整,无需重启API Server 要使用RBAC授权模式,需要在API Server的启动参数...
K8s 权限管理详解
民工哥的博客
07-01 851
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
K8s权限管理
a13568hki的博客
04-29 4445
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
K8s RBAC认证授权深度解析
博客虽小,世界尽在其中
04-20 3046
随着Kubernetes在云原生领域的广泛应用,如何有效地管理和控制用户对集群资源的访问权限成为了一个重要的问题。基于角色的访问控制(RBAC)作为一种灵活的权限管理机制,在Kubernetes中发挥着至关重要的作用。本文深入探讨了Kubernetes RBAC认证授权的核心概念、实现方式以及实践应用,旨在帮助读者更好地理解和管理Kubernetes集群中的权限问题。
玩转 K8s 权限控制RBAC + kubeconfig 搞定 kubectl 权限管理那些事
sdgfafg_25的博客
12-14 1402
先复习下 K8s 里的 RBAC 机制。(这时候需要用到 GPT 了。我:Hello ChatGPT,用中文总结下 K8s 里的 RBAC 是个啥。ChatGPT在 Kubernetes 中,RBAC 是一种强大的访问控制机制,用于管理对集群资源的访问权限RBAC 可以帮助管理员精确地控制用户、ServiceAccount 或其他实体对 Kubernetes API 中资源的操作权限RBAC 基于角色的授权模型使得管理员可以定义角色和角色绑定,从而实现对不同用户或实体的访问权限控制
一文搞懂K8s中的RBAC认证授权
最新发布
dsgdauigfs的博客
06-09 1457
鉴权 | Kubernetes使用 RBAC 鉴权 | KubernetesKubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。在K8S中,当我们试图通过API与集群资源交互时,必定经过集群资源管理对象入口kube-apiserver。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值