首页 > 其他分享 >48、k8s-安全认证-授权管理-角色创建、用户绑定角色

48、k8s-安全认证-授权管理-角色创建、用户绑定角色

时间:2024-07-01 22:21:18浏览次数:17  
标签:48 kubernetes dev 角色 devman k8s authorization

授权发生在认证成功之后、同i过认证就可以知道请求用户是谁、然后kubernetes会根据事先定义的授权策略来决定用户是否有权限访问、这个过程就称为授权

每个发送到APIServer的请求都带上了用户和资源的信息:比如发送请求的用户、请求的路径、请求的动作等、授权就是根据这些信息和授权策略进行比较、如果符合策略、则认为授权通过、否则会返回错误

API Server目前支持以下几种授权策略:
·AlwaysDeny:表示拒绝所有请求、一般用于测式
·AlwaysAllow:允许接收所有请求、相当于集群不需要授权流程(kubernetes默认的策略)
·ABAC:基于属性的访问控制、表示使用用户配置的授权规则对用户请求进行匹配和控制
·Webhook:通过调用外部REST服务对用户进行授权
·Node:是一种专用模式、用于对kubernetes发出的请求进行访问控制
·RBAC:基于角色的访问控制(kubeadm安装方式下的默认选项)

RBAC(Role-Base Access Control)基于角色的访问控制、只要是在描述一件事情:给哪些对象授予了哪些权限、其中涉及到了下面几个概念:
·对象:User、Group、ServiceAccount
·角色:代表着一组定义在资源上的可操作的动作
·绑定:将定义好的角色跟用户绑定在一起

RBAC引入了4个顶级资源对象:
·Role、ClusterRole:角色、用于指定一组权限
·RoleBinding、ClusterRoleBinding:角色绑定、哟用于将角色(权限) 赋予对象

Role、ClusterRole:一个角色就是一组权限的集合、这里的权限都是许可形式的(白名单)

#Role 的资源清单:
#Role只能对命名空间内的资源进行授权、需要指定namespace
--------------------------------------------------------------------------
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role
  namespace: dev
rules:
- apiGroups: [""]   #支持的API组列表、""空字符串、表示核心API群
  resources: ["pods"]    #支持的资源对象列表
  verbs: ["get", "watch", "list"]    #资源对象可操作的方法(资源对象的权限)
-----------------------------------------------------------------------------------

#ClusterRole的资源清单:
#ClusterRole可以对集群范围内资源、跨namespace的范围资源、非资源类型进行授权
----------------------------------------------------------------------------------
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-clusterrole
rules:
- apiGroups: [""]   #支持的API组列表、""空字符串、表示核心API群
  resources: ["pods"]    #支持的资源对象列表
  verbs: ["get", "watch", "list"]    #资源对象可操作的方法(资源对象的权限)
------------------------------------------------------------------------------

需要详细说明的是rule中的参数:
1、apiGroups:支持的资源对象列表
    ·"","apps","autoscaling","batch"
2、resources:支持的资源对象列表
    ·"services", "endpoints", "pods", "secrets,“configmaps","crontabs","deployments","jobs""nodes","rolebindings", 
    ·"clusterroles","da aemonsets", "replicasets", "statefulsets","horizontalpodautoscalers","replicationco ontrollers","cronjobs"
3、verbs:对资源对象的操作方法列表
    ·"get", "list", "watch", "create", "updatae", "patch", "delete", "exec"

 

RoleBinding、ClusterRoleBinding

RoleBinding、ClusterRoleBinding
角色绑定用来把一个角色绑定到一个目标对象上、绑定目标可以是User、Group或则是ServiceAccount

#RoleBinding的资源清单:
#RoleBinding可以将同一namespace中的subject绑定到某个Role下、则此subject即具有该Role定义的权限
-----------------------------------------------------
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role-binding
  namespace: dev
subject:            #用于定义对象
- kind: User
  name: taixin
  apiGroup: rbac.authorization.k8s.io
roleRef:            #指向的角色
  kind: Role
  name: authorization-role
  apiGroup:rbac.authorization.k8s.io
-----------------------------------------------------------------------

#ClusterRoleBinding的资源清单
#ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject域ClusterRole绑定、授予权限
--------------------------------------------------------------
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role-binding
subject:            #用于定义对象
- kind: User
  name: taixin
  apiGroup: rbac.authorization.k8s.io
roleRef:            #指向的角色
  kind: Role
  name: authorization-role
  apiGroup:rbac.authorization.k8s.io
-----------------------------------------------------------

 

实战:创建一个只能管理dev空间下的Pods资源的账号

1、创建账号

1、创建证书:
    ·mkdir /etc/kubernetes/pki/ -p
    · cd /etc/kubernetes/pki/
    · (umask 007;openssl genrsa -out devman.key 2048)  #创建一个名为devman.key 的证书
2、用apiserver的证书去签署
    ·签名申请、申请的用户是devman、组是devgroup
    ·openssl req -new -key devman.key -out devman.csr -subj "/CN=devman/0=devgroup"    #生成一个dev.csr的签名证书
3、签署证书:
    ·openssl x509 -req -in devman.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out devman.crt -days 3650
    ---------------------------------------------------
    Signature ok
    subject=/CN=devman
    Getting CA Private Key
    
    #生成devman.crt和ca.srl文件
    ------------------------------------
4、设置集群、用户、上下文信息
    ·设置集群kubernetes:kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.177.160:6443
    ·设置用户devman:kubectl config set-credentials devman --embed-certs=true --client-certificate=/etc/kubernetes/pki/devman.crt --client-key=/etc/kubernetes/pki/devman.key
    ·让用户devman绑定到集群kubernetes:kubectl config set-context devman@kubernetes --cluster=kubernetes --user=devman
5、切换账户devman:
    ·kubectl config use-context devman@kubernetes
    ---------------------------------------------------
    Switched to context "devman@kubernetes".    #当前用户
    -----------------------------------------------------
    ·使用该账户执行查看dev下的pod、提示无权限:kubectl get pods -ndev
    ----------------------------------------------------------------------
    Error from server (Forbidden): pods is forbidden: User "devman" cannot list resource "pods" in API group "" in the namespace "dev"
    -----------------------------------------------------------------------------------------------------------------------------------
6、切换会管理员权限去给devman账户授权:
    ·默认admin是管理员:kubectl config use-context kubernetes-admin@kubernetes
7、创建角色Role、然后将角色绑定(RoleBinding)到devman用户:
    ·创建yaml文件:vim dev-role.yaml
---------------------------------------------------------------------
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
  namespace: dev
  name: dev-role                        #角色名
rules:
- apiGroups: [""]                       #组
  resources: ["pods"]                   #角色可操作的资源对象
  verbs: ["get", "watch", "list"]       #角色的权限

---

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: RoleBinding
metadata:
  name: authorization-role-binding
  namespace: dev
subjects:                    #绑定的用户信息
- kind: User
  name: devman
  apiGroup: rbac.authorization.k8s.io
roleRef:                     #给用户授权绑定的角色
  kind: Role
  name: dev-role            #角色吗,名
  apiGroup: rbac.authorization.k8s.io
------------------------------------------------------------------------------------
8、执行文件创建角色和用户授权:kubectl create -f dev-role.yaml
----------------------------------------------------------------------
role.rbac.authorization.k8s.io/dev-role created
rolebinding.rbac.authorization.k8s.io/authorization-role-binding created
-------------------------------------------------------------------------
9、再次切换账户devman:
    ·kubectl config use-context devman@kubernetes
    ·再查看pod资源:kubectl get pods -ndev 
    ·此时就可以查看dev空间下的pods了
    ·注意只能查看dev空间下的、其它空间的没有授权是无法查看的

 

标签:48,kubernetes,dev,角色,devman,k8s,authorization
From: https://www.cnblogs.com/littlecc/p/17701161.html

相关文章

  • 47、k8s-安全认证-认证管理
    kubernetes集群安全的最关键点在于如何识别并认证客户端的身份、它提供了三种客户端身份认证方式:·HTTPBase认证:通过用户名+密码的方式认证··这种认证方式是把用户名和密码用Base64算法进行编码后的字符串放在http请求中的headerAuthorization域里发送给客户......
  • 46、k8s-安全认证-访问控制
    kubernetes作为一个分布式集群的管理工具、保证集群的安全性是一个很重要的任务、所谓的安全性其实就是保证对kubernetes的各种客户端进行认证和鉴权的操作客户端:在kubernetes集群中、客户端通常有两类·UserAccount:一般是独立于kubernetes之外的其它服务管理的用户账号......
  • 50、k8s-DashBoard(k8s的web)-部署
     1、下载yaml文件:https://github.com/kubernetes/dashboard/blob/v2.0.0/aio/deploy/recommended.yaml2、修改yaml文件的service配置:------------------------------------------------kind:ServiceapiVersion:v1metadata:labels:k8s-app:kubernetes-dashboa......
  • TTL、RS2323、RS485电平协议的区别
    目录TTL、RS2323、RS485电平协议的区别定义电气特性应用场景其他特点总结TTL、RS2323、RS485电平协议的区别定义TTL(Transistor-TransistorLogic):是一种电平标准,主要用于描述数字电路中的逻辑电平。TTL电路使用晶体管来实现逻辑功能,通常用于计算机和其他数字电子设备中的内部......
  • 超详细安装k8s
    K8S安装kubeadm快速安装安装前要求不要使用带中文的服务器和克隆的虚拟机生产环境建议使用二进制安装方式基本环境配置K8S官网:https://kubernetes.io/docs/setup/最新版高可用安装:https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/high-availabilit......
  • 【K8s】专题六(3):Kubernetes 稳定性之自动扩缩容
    以下内容均来自个人笔记并重新梳理,如有错误欢迎指正!如果对您有帮助,烦请点赞、关注、转发!欢迎扫码关注个人公众号!一、基本介绍在Kubernetes中,自动扩缩容是一种动态调整集群资源,以灵活应对应用程序资源需求变化的机制。自动扩缩容可以分为两个层面:Node层面:根据业务规模......
  • 基于k8s实现微服务开发平台的高可用方案设计与实现
    一、项目介绍  基于k8s实现微服务高可用平台的高可用平台的系统通过对Web应用服务器运行情况的分析统计系统的建设以实现服务器运行数据监控与分析功能。微服务高可用平台是web应用高可用的核心,为了确保这些网站的稳定运行,势必需要做好对网站服务器的监控。做好对服务......
  • k8s-07-配置应用程序
    配置应用程序ConfigMap:将配置数据置于Kubernetes的顶级资源对象中,并可与其他资源定义存入同一Git仓库或者基于文件的存储系统中。配置应用程序:向容器传递命令行参数为每个容器设置自定义环境变量通过特殊类型的卷将配置文件挂载到容器中在每个容器中,Kubemete......
  • k8s-09-Deployment
    Deployment微服务化:将一个大规模系统拆分成各个独立运行的组件更新pod:直接删除所有现有的pod,然后创建新的pod。先创建新的pod,并等待它们成功运行之后,再删除旧的pod。按顺序创建新的pod,然后逐渐删除旧的pod。第1种会导致应用程序在一定的时间内不可......
  • k8s-10-StatefulSet
    StatefulSet每个实例有单独存储的多副本手动控制Pod需要手动管理,当有节点故障,需要手动创建一个ReplicaSet对应一个Pod,创建多个RS不方便,不能弹性伸缩每个Pod使用同一数据卷中的不同目录实例间相互合作,正确性很难保证,同时共享存储会成为整个应用的性能瓶颈......