k8s安全控制、授权管理介绍,全网最新

news2024/11/16 13:43:24

3.ABAC

4.Webhook

5.Node

6.RBAC

三.Role解释

1.Role和ClusterRole

2.Rolebinding和ClusterBinding

3.Rolebinding和ClusterRole

四.准入控制

1.命令格式

2.可配置控制器

五.例子

1.生成签署证书

2.设置用户和上下文信息

3.为sulibao用户授权


一.Kubernetes安全控制介绍

1.客户端认证操作

两者最终都是面向kubernetes的

(1)user account

单独位于kubernetes外的用户账号

(2)service account

kubernetes管理账号,为pod中的服务进程在访问kubernete时提供身份标识

2.访问对象资源依次流程

(1)Authentication认证

所有请求都要经过apiserver,这里进行身份认证,只认准正确的账号

(2)Authorization

账号认证通过后进行资源权限判定,授权发生在认证成功之后,这时候就知道请求用户是谁, Kubernetes就会根据事先定义的授权策略来决定用户是否有权限访问。请求报文一般包含这些内容,请求的用户、请求的路径、请求的动作等,kubernetes将这些内容与事先定义好的策略比对,如果符合策略,则认为授权通过,否则会错误。

(3)Admission Control

准入控制,实现更加精细的访问控制

二.授权管理介绍

我是以kubeadm安装的kubernetes,主要是用到rbac的角色访问控制。

实际上apiserver支持至少六种授权策略:

1.AlwaysDeny

表示拒绝所有请求,通常不使用哈

2.AlwaysAllow

默认的策略,允许接收所有请求,就相当于没进行权限控制

3.ABAC

表示使用用户配置的授权规则对用户请求进行匹配和控制(基于用户属性)

4.Webhook

引用外部REST服务对用户进行授权管理

5.Node

用于对kubelet发出的请求进行访问控制,比较特殊的一种模式

6.RBAC

基于角色访问控制,一般是需要账号等

三.Role解释

理解为哪些对象拥有哪些权限,如下介绍RBAC的四个顶级资源对象(Role、Rolebinding、ClusterRole、ClusterRoleBinding)

1.Role和ClusterRole

角色,可以为角色指定一组权限,指定什么权限该角色就拥有什么权限,一个角色一组权限

(1)Role,是对指定的命名空间的资源进行权限配置,是需要指定名称空间的

#rule中的参数用来对授权进行配置
rules:

  • apiGroups: [“”] #支持的API组列表,“” 空字符串,表示核心API群
    resources: [“pods”] #支持的资源对象列表
    verbs: [“get”, “watch”, “list”] #允许的对资源对象的操作方法列表

(2)ClusterRole,是对整个集群范围内资源(不仅仅限于具体某个名称空间)、非资源类型等进行授权配置

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

c5d629f1415a9e35662316578e07.png#pic_center)

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-L9pvWzkt-1712501392478)]

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1575048.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

4.7学习总结

java学习 一.Stream流 (一.)概念: Stream将要处理的元素集合看作一种流,在流的过程中,借助Stream API对流中的元素进行操作,比如:筛选、排序、聚合等。Stream流是对集合(Collection)对象功能的增强&…

如何使用Java和RabbitMQ实现延迟队列?

前言 今天我们使用Java和RabbitMQ实现消息队列的延迟功能。 前期准备,需要安装好docker、docker-compose的运行环境。 需要安装RabbitMQ的可以看下面这篇文章。 如何使用PHP和RabbitMQ实现消息队列?-CSDN博客 今天讲的是依赖RabbitMQ的延迟插件实现…

优秀企业都在用的企微知识库,再不搭建就晚了!

每个团队都在寻找让工作效率提升的方法。如果你想知道哪些团队能够高效地完成任务,而另一些却步履维艰,那么答案可能就是“企业微信知识库”。见过很多团队都在使用它,而且效果非常显著。如果你还没有搭建属于自己的企微知识库,可…

【活动创作】未来AI技术方面会有哪些创业机会

放假期间突然看到这个活动创作,觉得很有意思,既然如此,我就先让AI来回答一下吧,哈哈 1、文心一言 首先来看看文心一言的回答: 2、讯飞星火 然后来看看讯飞星火的回答: 3、个人感受 最后来说说给人感受吧&am…

基于springboot+vue的医院信息管理系统(附源码+视频介绍) 前后端分类

一、项目背景介绍: 医院管理系统从整个社会实践过程来看,对医院进行信息化管理可以带来的好处如下所示: (1)患者快速预约就诊。不同于线下就诊的是,患者不需要到医院进行排队叫号,然后才能正常就诊&#x…

【STL学习】(4)vector的模拟

前言 本文将模拟实现vector的常用功能,目的在于更深入理解vector。 一、前置知识 在模拟之前先对vector的结构和常用接口学习,有一个大致了解。看源码,本文参考的源码是SGI版本的stl3.0。 技巧: 看源码不要一行一行的看&#xff…

软件测试常考面试题-软件测试面试宝典(一篇足矣)

🔥 交流讨论:欢迎加入我们一起学习! 🔥 资源分享:耗时200小时精选的「软件测试」资料包 🔥 教程推荐:火遍全网的《软件测试》教程 📢欢迎点赞 👍 收藏 ⭐留言 &#x1…

【系统架构师】-软件架构设计

1、软件架构的概念 架构的本质 1、软件架构为软件系统提供了一个结构、行为和属性的高级抽象。 2、软件架构风格是特定应用领域的惯用模式,架构定义一个词汇表和一组约束。 架构的作用 1、软件架构是项目干系人进行交流的手段。 2、软件架构是可传递和可复用的模型…

creo扫描杯子学习笔记

creo扫描杯子学习笔记 扫描2要素: 轨迹, 截面。 多用于曲线扫描,区别于拉伸命令。 大小自定 旋转扫描 抽壳 草绘把手 扫描把手 复制曲面 实例化切除 成型

Leetcode 148. 排序链表

心路历程: 这道题通过很简单,但是如果想要用O(1)的空间复杂度O(nlogn)的时间复杂度的话,可能得需要双指针快排的思路。 解法:遍历模拟 # Definition for singly-linked list. # class ListNode: # def __init__(self, val0…

容器和K8s常见概念

【容器】 1、Open Container Initiative(OCI):制定和推动容器格式和运行时的开放标准。容器运行时需要遵循此标准。主要的产出物包括: OCI Image Specification: 定义容器镜像格式的规范,统一描述容器镜像的内容和结…

软考高级架构师:嵌入式系统的内核架构

作者:明明如月学长, CSDN 博客专家,大厂高级 Java 工程师,《性能优化方法论》作者、《解锁大厂思维:剖析《阿里巴巴Java开发手册》》、《再学经典:《Effective Java》独家解析》专栏作者。 热门文章推荐&am…

【C++进阶】哈希思想之哈希表和哈希桶模拟实现unordered_map和unordered_set

哈希表和哈希桶 一,什么是哈希二,关联式容器unordered_map/set1. unordered_map2. unordered_set 三,哈希的结构1. 哈希函数2. 哈希冲突 四,哈希表(闭散列)及其模拟实现五,哈希桶(开…

Android JNI调试总结

1、确保NDK和CMake已经安装 新建能编译APK的工程,工程中添加相关ndk目录 2、添加C模块 添加完成后,工程目录自动更新,build.gradle导入了so编译器 修改build.gradle中添加相关gcc编译器如下 externalNativeBuild { cmake { abiFilters a…

零信任安全模型:构建未来数字世界的安全基石

在数字化转型的浪潮中,云原生技术已成为推动企业创新和灵活性的关键力量💡。然而,随着技术的进步和应用的广泛,网络安全威胁也日益严峻🔓,传统的网络安全模型已经难以应对复杂多变的网络环境。在这样的背景…

webpack环境配置分类结合vue使用

文件目录结构 按照目录结构创建好文件 控制台执行: npm install /config/webpack.common.jsconst path require(path) const {merge} require(webpack-merge) const {CleanWebpackPlugin} require(clean-webpack-plugin) const { VueLoaderPlugin } require(vue-loader); c…

Spring Security——11,自定义权限校验方法

自定义权限校验方法 一键三连有没有捏~~ 我们也可以定义自己的权限校验方法,在PreAuthorize注解中使用我们的方法。 自定义一个权限检验方法: 在SPEL表达式中使用 ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的 hasAuthority方法&am…

中文地址分词器源码阅读(jiedi)

文章目录 structure.p文件pd.read_excelenumerate思维导图核心源码讲解jiedi.pytrain.py 总结 structure 点击左边的Structure按钮就如Structure界面。从Structure我们可以看出当前代码文件中有多少个全局变量、函数、类以及类中有多少个成员变量和成员函数。 其中V图标表示全…

mid转MP3怎么转?一分钟搞定~

MIDI(Musical Instrument Digital Interface)文件格式的诞生可以追溯到上世纪80年代,音频技术迅速崛起。为了让不同音乐设备之间能够互相通信,MIDI格式成为了音乐的标准。它不同于常见的音频文件格式,不包含实际的声音…

基于java web的超市管理系统

摘要 随着社会经济的不断发展,人们的生活水平不断提高。越来越多的零售行业得到了快速的发展,以最常见的超市最为明显。零售行业繁荣的背后也随之带来了许多行业隐患,越来越激烈的行业竞争不断的要求经营者更加高要求的管理超市内部的整个供…