k8s进阶篇-准入控制及细粒度权限控制

最新推荐文章于 2025-10-14 08:22:39 发布
原创 最新推荐文章于 2025-10-14 08:22:39 发布 · 408 阅读 · 0
标签
#kubernetes #云原生 #docker
本文深入探讨了Kubernetes中的RBAC(Role-Based Access Control),包括Role、ClusterRole、RoleBinding和ClusterRoleBinding的概念与区别。通过实例展示了如何查看和配置这些组件,以实现细粒度的权限控制,确保集群安全。

RBAC

RBAC(Role-Based Access Control,基于角色的访问控制)是一种基于企业内个人用户的角色来管理对计算机或网络资源的访问方法,其在Kubernetes 1.5版本中引入,在1.6时升级为Beta版本,并成为Kubeadm安装方式下的默认选项。启用RBAC需要在启动APIServer时指定–authorization-mode=RBAC。

[root@k8s-master01 ~]# cat /usr/lib/systemd/system/kube-apiserver.service
[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target

[Service]
ExecStart=/usr/local/bin/kube-apiserver \
      --v=2  \
      --logtostderr=true  \
      --allow-privileged=true  \
      --bind-address=0.0.0.0  \
      --secure-port=6443  \
      --insecure-port=0  \
      --advertise-address=10.103.236.201 \
      --service-cluster-ip-range=192.168.0.0/16  \
      --service-node-port-range=30000-32767  \
      --etcd-servers=https://10.103.236.201:2379,https://10.103.236.202:2379,https://10.103.236.203:2379 \
      --etcd-cafile=/etc/etcd/ssl/etcd-ca.pem  \
      --etcd-certfile=/etc/etcd/ssl/etcd.pem  \
      --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem  \
      --client-ca-file=/etc/kubernetes/pki/ca.pem  \
      --tls-cert-file=/etc/kubernetes/pki/apiserver.pem  \
      --tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem  \
      --kubelet-client-certificate=/etc/kubernetes/pki/apiserver.pem  \
      --kubelet-client-key=/etc/kubernetes/pki/apiserver-key.pem  \
      --service-account-key-file=/etc/kubernetes/pki/sa.pub  \
      --service-account-signing-key-file=/etc/kubernetes/pki/sa.key  \
      --service-account-issuer=https://kubernetes.default.svc.cluster.local \
      --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname  \
      --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota  \
      --authorization-mode=Node,RBAC  \		# 这里开启了
      --enable-bootstrap-token-auth=true  \
      --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem  \
      --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.pem  \
      --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client-key.pem  \
      --requestheader-allowed-names=aggregator  \
      --requestheader-group-headers=X-Remote-Group  \
      --requestheader-extra-headers-prefix=X-Remote-Extra-  \
      --requestheader-username-headers=X-Remote-User  \
      --feature-gates=EphemeralContainers=true
      # --token-auth-file=/etc/kubernetes/token.csv

Restart=on-failure
RestartSec=10s
LimitNOFILE=65535

[Install]
WantedBy=multi-user.target

RBAC API声明了4种顶级资源对象,即Role、ClusterRole、RoleBinding、ClusterRoleBinding,管理员可以像使用其他API资源一样使用kubectl API调用这些资源对象。

查看role

[root@k8s-master01 ~]# kubectl get role --all-namespaces
NAMESPACE              NAME                                             CREATED AT
kube-public            system:controller:bootstrap-signer               2022-11-15T06:34:49Z
kube-system            extension-apiserver-authentication-reader        2022-11-15T06:34:49Z
kube-system            system::leader-locking-kube-controller-manager   2022-11-15T06:34:49Z
kube-system            system::leader-locking-kube-scheduler            2022-11-15T06:34:49Z
kube-system            system:controller:bootstrap-signer               2022-11-15T06:34:49Z
kube-system            system:controller:cloud-provider                 2022-11-15T06:34:49Z
kube-system            system:controller:token-cleaner                  2022-11-15T06:34:49Z
kubernetes-dashboard   kubernetes-dashboard                             2022-11-15T08:52:10Z

Role和ClusterRole

Role和ClusterRole的关键区别是,Role是作用于命名空间内的角色,ClusterRole作用于整个集群的角色。

在RBAC API中,Role包含表示一组权限的规则。权限纯粹是附加允许的,没有拒绝规则。
Role只能授权对单个命名空间内的资源的访问权限,比如授权对default命名空间的读取权限:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod
最低0.47元/天 解锁文章
Kubernetes kubectl 全组件异常诊断方法(全干货)
专注基础架构领域
10-27 578
这篇文章是关于使用 Kubectl 进行 Kubernetes 诊断的指南。列出了 100 个 Kubectl 命令,这些命令对于诊断 Kubernetes 集群中的问题非常有用。这些命令应该可以帮助你诊断 Kubernetes 集群以及在其中运行的应用程序。这些命令应该涵盖 Kubernetes 中的各种诊断场景。等占位符替换为你的集群和用例的实际值。使用这些命令时,请记住将。, 和替换为你的特定值。
K8S集群节点角色设置
Dances with Cloud Native
05-04 2247
K8S集群节点角色设置
Kubernetes角色访问控制RBAC和权限规则(Role+ClusterRole)---好文
Vic的博客
11-02 901
Role与ClusterRole在RBACAPI中,一个角色定义了一组特定权限的规则。namespace范围内的角色由Role对象定义,而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。RoleRole对象只能用于授予对某一namespace中资源的访问权限。kindRoleapiVersionmetadatanamespacedefaultnamerules[""]#空字符串""表明使用coreAPIgroupresources。...
看一眼就会的k8s权限管理手把手教学
记忆的博客
11-18 3769
Role #角色,基于名称空间下的资源RoleBinding #角色绑定,基于名称空间下的资源ClusterRole #集群角色,基于集群级别下的资源ClusterRoleBinding #集群角色绑定,基于集群级别下的资源其中,Role和Role是针对于名称空间级别,授予其所在名称空间范围内的许可权限。而ClusterRole和ClusterRoleBinding是针对于集群级别,授予其所在集群范围内的许可权限。
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 3185
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
Kubernetes权限控制
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
01-10 1149
简介 kubernetes作为一个分布式集群的管理工具,保证集群的安全性是一个重要的任务,API Server是集群内部各个组件通信的中介,也是外部控制的入口,所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。 Kubernetes使用了认证(Authentication),鉴权(Autjorization),准入控制(AdmissionControl)三步来保证...
Kubernetesk8s)学习大纲(六):Kubernetes安全与权限控制
最新发布
专业深耕,技术前沿
10-14 618
本文详细解析了Kubernetes安全与权限控制体系,包括核心安全架构、RBAC权限控制、网络隔离、数据加密等关键机制。重点介绍了多层次的防御策略:从API Server认证授权到Pod安全策略,从网络隔离到密钥管理,以及集群组件的安全加固方法。文章还提供了最佳实践建议,如最小权限原则、零信任网络和灾难恢复方案,帮助企业构建符合安全标准的Kubernetes集群环境。通过实施这些安全措施,可以有效保障容器化应用的安全性。
kubernetes安全:RBAC,Security Context,PSP,准入控制
阿白,
04-29 4954
文章目录RBAC 权限控制前言API 对象RBAC只能访问某个 namespace 的普通用户创建用户凭证创建角色创建角色权限绑定测试只能访问某个 namespace 的 ServiceAccount可以全局访问的 ServiceAccountSecurity Context为 Pod 设置 Security Context为容器设置 Security Context设置 Linux Capabilities什么是 Capabilities如何使用 CapabilitiesDocker Container
第12章 K8s进阶篇-细粒度权限控制
dluhehe的博客
12-17 646
K8s进阶篇-细粒度权限控制,包括:RBAC,RBAC企业实战等内容。帮助大家更好做好权限管理。
K8S集群(Kubernetes
九九八拾一的博客
01-02 3078
K8S通常称为K8S集群(Cluster),k8s介绍:Kubernetes概述 K8S集群(Cluster)包括两部分: Master节点(主节点):主要负责管理和控制。 n个Node节点(计算节点):工作负载节点,里面存放了具体的容器。 Master主要包括四部分: API Server:提供了资源操作的唯一入口,并提供认证、授权、访问控制、API注册和发现等机制。 Scheduler...
k8s权限使用【ServiceAccount、Role、RoleBinding使用】
Happywzy~的博客
11-07 6921
需求:需要为每个项目组在K8s集群中创建不同的namespace,然后为这个namespace创建单独的ServiceAccount,这个ServiceAccount需要拥有这个namespace的完全控制权。以下均通过YAML文件的方式创建。 创建namespace,打个标签,代表是测试用的 apiVersion: v1 kind: Namespace metadata: name:...
k8s 内置cluster role(集群角色) cluster-admin、admin、 edit、 view的作用范围及区别
学亮编程手记
06-27 3712
cluster-admin 超级管理员,对集群所有权限,和linux下面root一样(在部署dashboard的时候,先创建sa,然后将sa绑定到角色cluster-admin,最后获取到token,这就使用了内置的cluster-admin )admin 主要用于授权命名空间所有读写权限(针对于某个命名空间)edit 允许对命名空间大多数对象读写操作,不允许查看或者修改角色、角色绑定。view 允许对命名空间大多数对象只读权限,不允许查看角色、角色绑定和Secretview ClusterRol
k8s的命令汇总(一)
wzj_110的博客
04-16 412
(1)需求1:查看所有可用的集群角色 kubectl get clusterroles 引出话题:curl命令请求在默认命名空间中的服务,无法从API Server中获得回应 #!/bin/bash # 参考博客:https://blog.csdn.net/lanwp5302/article/details/88749816 APISERVER=$(kubectl config vi...
java细粒度权限控制,数据采集系统第八天角色授权用户授权权限的粗粒度控制权限的细粒度控制详解...
weixin_42526415的博客
03-22 759
一、角色管理单击导航栏上的"角色管理"超链接,跳转到角色管理界面,在该界面上显示所有角色,并提供角色的增加和删除、修改超链接。1.增加新角色(角色授权)流程:单击增加新角色超链接->Action查询出所有的权限保存到值栈并转到添加新角色页面->填写表单并提交->Action保存表单->重定向到角色管理Action技术点:表单提交的权限列表时一个整型数组,需要在Action中...
细粒度是什么?细粒度加密是什么?如何实现?
China_ZJ的博客
05-01 1106
细粒度加密的实现通常依赖于一些高级的加密原语,如属性加密(Attribute-Based Encryption, ABE)和层次加密(Hierarchical Encryption)。这种加密方式不是对整个数据集使用单一的密钥进行加密,而是对数据集中的每个元素或每个属性使用不同的密钥或加密策略。(Fine-Grained)是指对数据进行更细致、更具体的控制和管理。细粒度加密在保护敏感数据、实现数据共享和协作等方面非常有用,因为它可以确保只有授权的用户才能访问特定的数据,同时保留了数据的安全性和隐私。
三十、K8s供应链安全1-准入控制
tushanpeipei的博客
12-17 1272
准入控制器(admission-controllers)在K8s中的应用
数据库的细粒度访问控制
iteye_7304的博客
07-20 1696
背景 根据控制对象的粗细程度,访问控制可分为粗粒度细粒度两种通常把规定访问整个数据库表或由基本表导出的视图的某个层称为粗粒度的访问控制,而细粒度控制则是把安全控制细化到数据库的行级或列级。 我们给银行上了一套系统,银行的政策允许所有财务经理可以访问所有账户持有人的信息,但在最近,对该政策做了改变只允许财务经理访问特定的客户集,那么为了使应用程序符合新的政策,我们必须对应用程序进行修改,有...
第11章 K8s进阶篇-高级调度准入控制
dluhehe的博客
12-14 392
K8s进阶篇-高级调度准入控制
粒度细粒度权限控制
mlynb的博客
07-07 933
1.1 什么是粗粒度细粒度权限 粗粒度权限管理,对资源类型的权限管理。资源类型比如:菜单、url连接、用户添加页面、用户信息、类方法、页面中按钮。。 粗粒度权限管理比如:超级管理员可以访问户添加页面、用户信息等全部页面。 部门管理员可以访问用户信息页面包括 页面中所有按钮。 细粒度权限管理,对资源实例的权限管理。资源实例就资源类型的具体化,比如:用户id为001的修改连接,1110班的用户信息、行政部的员工。 细粒度权限管理就是数据级别的权限管理。 细粒度权限管理比如:部门经理只可以访问本部门的员工信息,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值