Kubernetes 安全机制 认证 授权 准入控制

news2024/11/15 18:24:43

 客户端应用若想发送请求到 apiserver 操作管理K8S资源对象,需要先通过三关安全验证

  1. 认证(Authentication)
  2. 鉴权(Authorization)
  3. 准入控制(Admission Control)

Kubernetes 作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介, 也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。
比如 kubectl 如果想向 API Server 请求资源,需要过三关,第一关是认证(Authentication),第二关是鉴权(Authorization), 第三关是准入控制(Admission Control),只有通过这三关才可能会被 K8S 创建资源。


认证(Authentication)【确认请求方是否有连接 apiserver 的权限】

●HTTP Token 认证:通过一个 Token字符串 来识别合法用户
HTTP Token 的认证是用一个很长的特殊编码方式的并且难以被模仿的 Token 字符串来表达客户的一种方式。Token 是一个很长的很复杂的字符串,每一个 Token 对应一个用户名存储在 API Server 能访问的文件中。当客户端发起 API 调用请求时,需要在 HTTP Header 里放入 Token。

●HTTP Base 认证:通过用户名+密码的方式认证
用户名:密码 用 BASE64 算法进行编码后的字符串放在 HTTP Request 中的 Heather Authorization 域里发送给服务端, 服务端收到后进行解码,获取用户名及密码。

●HTTPS 证书认证(最严格):基于 CA 根证书签名的客户端身份认证方式,双向认证,通过6443端口

#注:Token 认证和 Base 认证方式只能进行服务端对客户端的单向认证,而客户端不知道服务端是否合法;而 HTTPS 证书认证方式 则可以实现双向认证。

需要被认证的访问类型
●Kubernetes 组件对 API Server 的访问:kubectl、kubelet、kube-proxy(使用kubeconfig
●Kubernetes 管理的 Pod 对 API Server 的访问:Pod(coredns,dashborad 也是以 Pod 形式运行)(使用Service Account

安全性说明
●Controller Manager、Scheduler 与 API Server 在同一台机器,所以直接使用 API Server 的非安全端口访问(比如 8080 端口 后续版本为了安全又隐藏了8080转而使用https)
●kubectl、kubelet、kube-proxy 访问 API Server 就都需要证书进行 HTTPS 双向认证,端口号使用 6443

证书颁发
●手动签发:使用二进制部署时,需要先手动跟 CA 进行签发 HTTPS 证书
●自动签发:kubelet 首次访问 API Server 时,使用 token 做认证,通过后,Controller Manager 会为 kubelet 生成一个证书, 以后的访问都是用证书做认证了

kubeconfig
kubeconfig 文件包含集群参数(CA 证书、API Server 地址),客户端参数(上面生成的证书和私钥),集群 context 上下文参数 (集群名称、用户名)。Kubenetes 组件(如 kubelet、kube-proxy)通过启动时指定不同的 kubeconfig 文件可以切换到不同的集群 ,连接到 apiserver
也就是说 kubeconfig 文件既是一个集群的描述,也是集群认证信息的填充。包含了集群的访问方式和认证信息。kubectl 文件默认位于 ~/.kube/config

Service Account
Service Account是为了方便 Pod 中的容器访问API Server。因为 Pod 的创建、销毁是动态的,所以要为每一个 Pod 手动生成证书就不可行了。 Kubenetes 使用了 Service Account 来循环认证,从而解决了 Pod 访问API Server的认证问题。

Secret 与 SA 的关系
Kubernetes 设计了一种资源对象叫做 Secret,分为两类:

  • 用于保存 ServiceAccount 的 service-account-token
  • 用于保存用户自定义保密信息的 Opaque

认证过程

K8S组件(kubectl、kubelet等)可通过使用cfssl工具手动签发或者通过bootstrap机制自动签发证书,并生成kubeconfig文件,引用其中的集群参数(ca证书、apiserver地址)和客户端参数(证书和私钥)连接到指定的K8S集群的apiserver,默认使用https的6443端口与apiserver通信。

以Pod形式运行的组件(dashboard、cni网络插件、外置存储卷插件、ingress控制器等),使用serviceaccount账户作为Pod的服务账户(如果没有指定则默认使用当前命名空间的default),同时K8S也会自动创建相关的service-account-token类型的Secret资源,Pod启动时会自动挂载相关的Secret卷到容器的/var/run/secrets/kubernetes.io/serviceaccount目录,并使用其中的token访问apiserver作认证。

Service Account 中包含三个部分

  • Token:是使用 API Server 私钥签名的 Token 字符串序列号,用于访问 API Server 时,Server 端认证
  • ca.crt:ca 根证书,用于 Client 端验证 API Server 发送来的证书
  • namespace:标识这个 service-account-token 的作用域名空间

默认情况下,每个 namespace 都会有一个 Service Account,如果 Pod 在创建时没有指定 Service Account,就会使用 Pod 所属的 namespace 的 Service Account。每个 Pod 在创建后都会自动设置 spec.serviceAccount 为 default(除非指定了其他 Service Accout)。

kubectl get sa
    NAME      SECRETS   AGE
    default   1         22d

每个 Pod 启动后都会挂载该 ServiceAccount 的 Token、ca.crt、namespace 到 /var/run/secrets/kubernetes.io/serviceaccount/

kubectl get pod -n kube-system

NAME                             READY   STATUS    RESTARTS   AGE
coredns-5c98db65d4-gmmrn         1/1     Running   0          25d
coredns-5c98db65d4-w24d7         1/1     Running   0          25d
etcd-master                      1/1     Running   0          25d
kube-apiserver-master            1/1     Running   0          25d
kube-controller-manager-master   1/1     Running   0          25d
kube-flannel-ds-amd64-4dgcs      1/1     Running   0          25d
kube-flannel-ds-amd64-55xzq      1/1     Running   0          25d
kube-flannel-ds-amd64-l8r2b      1/1     Running   0          25d
kube-proxy-4hj92                 1/1     Running   0          25d
kube-proxy-dcprb                 1/1     Running   0          25d
kube-proxy-prdjp                 1/1     Running   0          25d
kube-scheduler-master            1/1     Running   0          25d
kubectl exec -it kube-proxy-prdjp -n kube-system sh

# ls /var/run/secrets/kubernetes.io/serviceaccount/
    ca.crt    namespace  token


 

鉴权(Authorization)【确认请求方具有哪些资源对象的操作权限】

之前的认证(Authentication)过程,只是确定通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权限。API Server 目前支持以下几种授权策略:(通过 API Server 的启动参数 “--authorization-mode” 设置)

  • AlwaysDeny:表示拒绝所有的请求,一般用于测试
  • AlwaysAllow:允许接收所有请求,如果集群不需要授权流程,则可以采用该策略,一般用于测试
  • ABAC(Attribute-Based Access Control):基于属性的访问控制,表示使用用户配置的授权规则对用户请求进行匹配和控制。也就是说定义一个访问类型的属性,用户可以使用这个属性访问对应的资源。此方式设置较为繁琐,每次设置需要定义一长串的属性才可以。
  • Webhook:通过调用外部 REST 服务对用户进行授权,即可在集群外部对K8S进行鉴权
  • RBAC(Role-Based Access Control):基于角色的访问控制,K8S自1.6版本起默认使用规则

RBAC 相对其它访问控制方式,拥有以下优势
●对集群中的资源(Pod,Deployment,Service)和非资源(元信息或者资源状态)均拥有完整的覆盖
●整个 RBAC 完全由几个 API 资源对象完成,同其它 API 资源对象一样,可以用 kubectl 或 API 进行操作
●可以在运行时进行调整,无需重启 API Server,而 ABAC 则需要重启 API Server

RBAC 的 API 资源对象说明
RBAC 引入了 4 个新的顶级资源对象:Role、ClusterRole、RoleBinding、ClusterRoleBinding,4 种对象类型均可以通过 kubectl 与 API Server 操作。

官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/

RBAC(基于角色的访问控制) 包含4个资源对象 Role  ClusterRole  RoleBinding  ClusterRoleBinding

角色 (Role  ClusterRole)定义角色能够对哪些 资源对象 拥有哪些 操作权限

  • Role  受命名空间的影响,只能在指定的命名空间中操作资源
  • ClusterRole  默认能够在K8S集群中所有的命名空间中操作资源,不要配置 namespace


如果使用 RoleBinding 绑定 ClusterRole,仍会受到命名空间的影响;如果使用 ClusterRoleBinding 绑定 ClusterRole, 将会作用于整个 K8S 集群。

Role (受限命名空间)+ RoleBinding(受限命名空间)    同一个命名空间有效

ClusterRole(全局)+ RoleBinding(受限命名空间)       在RoleBinding的命名空间有效

ClusterRole(全局)+  ClusterRoleBinding(全局)         全局有效

角色绑定 (RoleBinding  ClusterRoleBinding)将主体账户subjects(User、Group、ServiceAccount)与角色进行绑定,使得主体账户具有角色相关的资源操作权限

  • RoleBinding  可以与相同命名空间的Role绑定,使主体账户在指定的命名空间中具有角色相关的资源操作权限
    • 也可以与ClusterRole绑定,使主体账户只在RoleBinding指定的命名空间中具有集群角色相关的资源操作权限
  • ClusterRoleBinding  只能与ClusterRole绑定,使主体账户在所有的命名空间中具有集群角色相关的资源操作权限

主体(subject)
User:用户(组件使用)
Group:用户组(组件使用)
ServiceAccount:服务账号(pod使用)
#User 使用字符串表示,它的前缀 system: 是系统保留的,集群管理员应该确保普通用户不会使用这个前缀格式;Group 书写格式与 User 相同,同样 system: 前缀也为系统保留。
#Pod使用 ServiceAccount 认证时,service-account-token 中的 JWT 会保存用户信息。 有了用户信息,再创建一对角色/角色绑定(集群角色/集群角色绑定)资源对象,就可以完成权限绑定了。

Role and ClusterRole
在 RBAC API 中,Role 表示一组规则权限,权限只能增加【减少只能删除重建】(累加权限),不存在一个资源一开始就有很多权限而通过 RBAC 对其进行减少的操作。也就是说只有白名单权限,而没有黑名单权限的概念。

Role 只能定义在一个 namespace 中,如果想要跨 namespace 则可以创建 ClusterRole,也就是说定义 ClusterRole 不需要绑定 namespace。


Role 示例

apiVersion: rbac.authorization.k8s.io/v1  #指定 core API 组和版本
kind: Role   #指定类型为 Role
metadata:
  namespace: default   #使用默认命名空间
  name: pod-reader   #Role 的名称
rules:   #定义规则
- apiGroups: [""]  #标明 core API 组 。为空使用默认api组
  resources: ["pods"]  #资源对象为 Pod 类型
  verbs: ["get", "watch", "list"]  #被授予的操作权限

以上配置的意义是,如果把 pod-reader 这个 Role 赋予给一个用户,那么这个用户将在 default 命名空间中具有对 Pod 资源对象 进行 get(获取)、watch(监听)、list(列出)这三个操作权限。 

 ClusterRole 示例

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: secret-reader
rules:
- apiGroups: [""]
  resources: ["secrets"]  #资源对象为 Secret 类型
  verbs: ["get", "watch", "list"]

RoleBinding and ClusterRoleBinding
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount);
RoloBinding 同样包含对被绑定的 Role 引用;
RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权 

RoleBinding 示例1

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: zhangsan
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

#将 default 命名空间的 pod-reader Role 授予 zhangsan 用户,此后 zhangsan 用户在 default 命名空间中将具有 pod-reader 的权限。

RoleBinding 同样可以引用 ClusterRole 来对当前 namespace 内 User、Group 或 ServiceAccount 进行授权, 这种操作允许集群管理员在整个集群内定义一些通用的 ClusterRole,然后在不同的 namespace 中使用 RoleBinding 来引用。

RoleBinding 示例2

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-secrets
  namespace: kube-public
subjects:
- kind: User
  name: lisi
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

#以上 RoleBinding 引用了一个 ClusterRole,这个 ClusterRole 具有整个集群内对 secrets 的访问权限;但是其授权用户 lisi 只能访问 kube-public 空间中的 secrets(因为受制于 RoleBinding 定义在 kube-public 命名空间)。

  

使用 ClusterRoleBinding 可以对整个集群中的所有命名空间资源权限进行授权

ClusterRoleBinding 示例

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: read-secrets-global
subjects:
- kind: Group
  name: manager
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

#以上 ClusterRoleBinding 授权 manager 组内所有用户在全部命名空间中对 secrets 进行访问。

Role设置Resources权限
Kubernetes 集群内一些资源一般以其名称字符串来表示,这些字符串一般会在 API 的 URL 地址中出现; 同时某些资源也会包含子资源,例如 log 资源就属于 pods 的子资源,API 中对 Pod 日志的请求 URL 样例如下:

GET /api/v1/namespaces/{namespace}/pods/{name}/log

kubectl get pods myapp-demo1 -n default
就相当于发送一个HTTP GET请求
HTTP GET   https://192.168.80.10:6443/v1/namespaces/default/pods/myapp-demo1/log
#在这里,pods 对应名字空间作用域的 Pod 资源,而 log 是 pods 的子资源。

如果要在 RBAC 授权模型中控制这些子资源的访问权限,可以通过 / 分隔符来分隔资源和子资源实现。

#以下是一个定义允许某主体读取 pods 同时访问这些 Pod 的 log 子资源的 Role 定义样例:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-and-pod-logs-reader
rules:
- apiGroups: [""] #写资源(name)对应的组(apiversion) kubectl api-resources 查询
  resources: ["pods", "pods/log"]
  verbs: ["get", "list"]
  •  rules.verbs有:"get", "list", "watch", "create", "update", "patch", "delete", "exec"
  • rules.resources有:"services", "endpoints", "pods", "secrets", "configmaps", "crontabs", "deployments", "jobs", "nodes", "rolebindings", "clusterroles", "daemonsets", "replicasets", "statefulsets", "horizontalpodautoscalers", "replicationcontrollers", "cronjobs"
  • rules.apiGroups有:"","apps", "autoscaling", "batch"
    rules.apiGroups可通过
    kubectl api-resources
    查询有哪些api组。

例如上面限制的pods资源,在此图里可以看见,对应的apiversion只有一个版本号,所以apigroup就写了 “ ” (空) 

实例

若要对deployment资源拥有 创建 删除 查看 权限

查询kubectl api-resources发现deployment资源对应的apigroup为apps

因此此时apigroup就应该从 " " 更改为 "apps"


 

准入控制(Admission Control)【使用额外的准入控制插件对资源请求进行检查,如果检查不通过则会拒绝请求】

准入控制是 API Server 的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。发送到 API Server 的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。
一般建议直接采用官方默认的准入控制器。 

 

K8S在初始化时会默认启用官方推荐的准入控制插件,也可以修改 apiserver 的启动参数 --enable-admission-plugins= 来添加指定的准入控制插件

官方准入控制器推荐列表(不同版本各有不同)
NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota,NodeRestriction

列举几个插件的功能
●NamespaceLifecycle:用于命名空间回收,防止在不存在的 namespace 上创建对象,防止删除系统预置 namespace,删除 namespace 时,连带删除它的所有资源对象。
●LimitRanger:用于给指定的命名空间中Pod或容器设置默认的 requests 和 limits 资源量限制(限制命名空间内单个pod使用资源量
●ServiceAccount:用于在每个 Pod 中自动化添加 ServiceAccount,方便访问 API Server。
●ResourceQuota:用于限制在指定的命名空间中能够创建的最大资源对象数量和 Pod 的 requests|limits 资源量限制(限制命名空间内所有pod使用资源总量
●NodeRestriction: 用于 Node 加入到 K8S 群集中以最小权限运行。

官方文档参考:https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/

------------------- 实践:创建一个用户只能管理指定的命名空间 -------------------

如何授权让一个普通用户能够使用 kubectl 在 K8S 中具有操作资源权限?

先 认证 授权
        1)签发 kubectl 用户的证书和私钥文件
        2)创建 kubectl 的 kubeconfig 集群配置文件,移动并修改文件名为 ~/.kube/config

再 鉴权 授权
        3)先创建角色(Role|ClusterRole)

rules:
- apiGroups: [""]      #指定 api 组,可参考 kubectl api-resources 的 APIVERSION 字段
  resources: ["pods"]  #指定授权的 资源名(pods) 或者 子资源名(pods/log)
  verbs: ["create", "delete", "get", "list", "watch"]   #指定对资源对象的 操作权限

        4)给主体账户(User、Group、ServiceAccount)绑定角色(Role|ClusterRole)

若role rolebinding 在命名空间内有效需要指定命名空间
kubectl create rolebinding <资源名称> --role=<Role资源名称> --user|group=***  [或是--serviceaccount=<命名空间>:<serviceaccount资源名称>]  -n 命名空间

若clusterrole clusterrolebinding 全局有效不需要制定命名空间
kubectl create clusterrolebinding <资源名称> --clusterrole=<Role|ClusterRole资源名称>  --user=*** [或是--group=***  或是--serviceaccount=***  ]

 实验开始!

创建一个用户

useradd zhangsan
passwd zhangsan

使用这个用户进行资源操作,会发现连接 API Server 时被拒绝访问请求

su - zhangsan

kubectl get pods
The connection to the server localhost:8080 was refused - did you specify the right host or port?

认证 

创建用于用户连接到 API Server 所需的证书和 kubeconfig 文件


//先上传证书生成工具 cfssl、cfssljson、cfssl-certinfo 到 /usr/local/bin 目录中,授权

chmod +x /usr/local/bin/cfssl*

 编写证书生成脚本

mkdir /opt/zhangsan
cd /opt/zhangsan
vim user-cert.sh


#######################
cat > zhangsan-csr.json <<EOF
{
  "CN": "zhangsan", #用户名
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s", #组
      "OU": "System"
    }
  ]
}
EOF
#API Server 会把客户端证书的 CN 字段作为 User,把 names.O 字段作为 Group

cd /etc/kubernetes/pki/ #进入存放ca认证的目录 生成zhangsan证书
cfssl gencert -ca=ca.crt -ca-key=ca.key -profile=kubernetes /opt/zhangsan/zhangsan-csr.json | cfssljson -bare zhangsan 
###############################
chmod +x user-cert.sh
./user-cert.sh

/etc/kubernetes/pki/ 目录中会生成 zhangsan-key.pem、zhangsan.pem、zhangsan.csr

  

生成kubeconfig配置文件(包含证书信息 apiserver地址)

cd /opt/zhangsan
vim rbac-kubeconfig.sh

APISERVER=$1
# 设置集群参数
export KUBE_APISERVER="https://$APISERVER:6443"
kubectl config set-cluster kubernetes \
  --certificate-authority=/etc/kubernetes/pki/ca.crt \
  --embed-certs=true \
  --server=${KUBE_APISERVER} \
  --kubeconfig=zhangsan.kubeconfig

# 设置客户端认证参数
kubectl config set-credentials zhangsan \
  --client-key=/etc/kubernetes/pki/zhangsan-key.pem \
  --client-certificate=/etc/kubernetes/pki/zhangsan.pem \
  --embed-certs=true \
  --kubeconfig=zhangsan.kubeconfig

# 设置上下文参数
kubectl config set-context kubernetes \
  --cluster=kubernetes \
  --user=zhangsan \
  --namespace=xue \ #zhangsan用户默认命名空间,不设置则默认使用default命名空间。可加可不加,如果加了这行需要创建对应命名空间
  --kubeconfig=zhangsan.kubeconfig

# 使用上下文参数生成 zhangsan.kubeconfig 文件
kubectl config use-context kubernetes --kubeconfig=zhangsan.kubeconfig
kubectl create namespace xue #创建刚刚指定的命名空间

chmod +x rbac-kubeconfig.sh
./rbac-kubeconfig.sh 192.168.80.10

 //查看kubeconfig内证书信息

cat zhangsan-kubeconfig

移动kubeconfig配置文件到zhangsan用户的家目录中并赋权,完成 用户认证

mkdir /home/zhangsan/.kube
cp zhangsan.kubeconfig /home/zhangsan/.kube/config
chown -R zhangsan:zhangsan /home/zhangsan/.kube/

此时zhangsan用户再执行 

kubectl get pods

 不会再显示redused拒绝,而是显示对pod资源无get权限。
接下来进入第二步,授权。



RBAC授权

去官方文档查看模版 ,根据模版修改

定义一个Role(需要指定命名空间)若需要全局命名空间生效使用ClusterRole(ClusterRole的话把namespace那行注释掉)

vim rbac.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role    #指定规则 定义一个Role(需要指定命名空间)若需要全局命名空间生效使用ClusterRole
metadata:
  namespace: xue #若使用ClusterRole,这行的命名空间删除
  name: zhangsan-role
rules:
- apiGroups: [""]
  resources: ["pods"] #对pod资源的权限
  verbs: ["get", "watch", "list", "create", "delete"]

- apiGroups: ["apps"] #deployment的apigroup为apps。可由kubectl api-resources查询
  resources: ["deployments"] #对deployment资源的权限 
  verbs: ["get", "delete", "create"]

- apiGroups: [""]
  resources: ["services"] #对service资源的权限 
  verbs: ["get", "delete", "create"]

- apiGroups: ["networking.k8s.io"] #ingress的apigroup为networking.k8s.io。可由kubectl api-resources查询
  resources: ["ingress"] #对ingress资源的权限 
  verbs: ["get", "delete", "create"]

#########↓可以用kubectl create rolebinding zhangsan-RoleBinding --role=zhangsan-role --user=zhangsan代替↓#########
#根据创建的是Role还是ClusterRole选择(ClusterRole为全局不限制命名空间)
#########↓可以用kubectl create clusterrolebinding zhangsan-clusterrolebinding --clusterrrole=zhangsan-role --user=zhangsan代替↓#########
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: zhangsan-RoleBinding      #zhangsan用户与刚刚创建的role(规则)绑定
  namespace: xue
subjects:
- kind: User
  name: zhangsan
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: zhangsan-role
  apiGroup: rbac.authorization.k8s.io
#########↑可以用kubectl create rolebinding zhangsan-RoleBinding --role=zhangsan-role --user=zhangsan代替↑#########
#根据创建的是Role还是ClusterRole选择(ClusterRole为全局不限制命名空间)
#########↑可以用kubectl create clusterrolebinding zhangsan-clusterrolebinding --clusterrrole=zhangsan-role --user=zhangsan代替↑#########
kubectl apply -f rbac.yaml

查看role资源中具有的权限 

kubectl get role
kubectl describe role -n xue zhangsan-role

若刚刚创建的是clusterrole 
kubectl get clusterrole
kubectl describe clusterrole -n xue zhangsan-role


 

查看xue命名空间存在的role与rolebinding

kubectl get role,rolebinding -n xue

NAME                                        AGE
role.rbac.authorization.k8s.io/pod-reader   32s

NAME                                              AGE
rolebinding.rbac.authorization.k8s.io/read-pods   32s

切换用户,测试操作权限

su - zhangsan

get pods(在规定权限之内,可以访问)

kubectl get pods
#未指定命名空间则在zhangsan用户默认命名空间xue内查看
#等效于
kubectl get pods -n xue
#由于zhangsan设置的默认命名空间是xue

 get pods -A (由于只有命名空间xue的权限,-A查询全部命名空间,会报错)

kubectl get pods -A

同样道理,也无法指定命名空间default进行访问

kubectl get pods -n default

Error from server (Forbidden): pods is forbidden: User "zhangsan" cannot list resource "pods" in API group "" in the namespace "default"

可以使用edit编辑配置文件给用户增加权限

kubectl edit roles -n xue zhangsan-role

使用 root 用户查看(具有完整权限)

kubectl get pods --all-namespaces -o wide

NAMESPACE     NAME        READY   STATUS    RESTARTS   AGE    IP              NODE     NOMINATED NODE   READINESS GATES
kgc           pod-test    1/1     Running   0          107s   10.244.2.2      node02   <none>           <none>

由此可以看出 RoleBinding 的zhangsan用户只能管理指定的命名空间中的资源

也可以通过给zhangsan用户绑定 admin 角色,来获得管理员权限

(就是不用自己创建role规则了,直接给用户绑定已经定义好存在的admin的role规则,这样zhangsan就获得了admin所规定拥有的权限)

绑定admin(有命名空间限制)
kubectl create rolebinding zhangsan-admin-binding --clusterrole=admin --user=zhangsan --namespace=xue

绑定clusteradmin(全局)
kubectl create rolebinding zhangsan-admin-binding --clusterrole=clusteradmin --user=zhangsan


 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/901350.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

FreeCAD的傻瓜式初级使用教程

起因&#xff1a;自己想DIY一套线性手刹和序列档&#xff0c;以便和我之前的freejoy控制器相连接应用&#xff0c;需要自己制图和在某宝找代加工的商家&#xff0c;但我又不想安装体积巨大的AutoCAD&#xff0c;所以找了以下开源、免费的解决方案&#xff0c;所以就有了这篇文章…

这是真的“技术驱动”的公司吗?

“ 软件交付团队的DevOps能力&#xff0c;恰恰是技术能力的最好体现。” 01 — “我们是技术驱动的公司” 跟我们合作的软件供应商&#xff0c;每次发生软件变更或升级就一地鸡毛&#xff0c;而且经过屡次沟通&#xff0c;都没有什么本质改善。 当我们跟他们的高层投诉时&#…

JVM面试题-1

1、什么是JVM内存结构&#xff1f; jvm将虚拟机分为5大区域&#xff0c;程序计数器、虚拟机栈、本地方法栈、java堆、方法区&#xff1b; 程序计数器&#xff1a;线程私有的&#xff0c;是一块很小的内存空间&#xff0c;作为当前线程的行号指示器&#xff0c;用于记录当前虚拟…

数据结构:队列Queue详解

文章目录 一、队列的概念和特点二、队列的使用三、队列的简单实现四、循环队列 一、队列的概念和特点 队列:只允许在一端进行插入数据操作&#xff0c;在另一端进行删除数据操作的特殊线性表。进行插入操作的一端称为队尾&#xff0c;删除操作的一端称队头。 入队列&#xff…

使用Nginx调用网关,然后网关调用其他微服务

问题前提&#xff1a;目前我的项目是已经搭建了网关根据访问路径路由到微服务&#xff0c;然后现在我使用了Nginx将静态资源都放在了Nginx中&#xff0c;然后我后端定义了一个接口访问一个html页面&#xff0c;但是html页面要用到静态资源&#xff0c;这个静态资源在我的后端是…

windows服务器下java程序健康检测及假死崩溃后自动重启应用、开机自动启动

前两天由于项目需要&#xff0c;一个windows上的批处理任务&#xff08;kitchen.bat&#xff09;&#xff0c;需要接到mq的消息通知后执行&#xff0c;为了快速实现这里我们通过springboot写了一个jar程序&#xff0c;用于接收mq的消息&#xff0c;并调用bat文件。 本程序需要实…

【欧拉计划】偶数斐波那契数

题目链接&#xff1a;偶数斐波那契数 解法一&#xff1a;暴力枚举 看见题目&#xff0c;第一反应就是先找到小于400万的所有斐波那契数&#xff0c;再从这些斐波那契数中筛选出偶数进行求和。 由于递归方法求斐波那契数的时间复杂度较高&#xff0c;故这里采用迭代的方法。 先…

C++笔记之全局函数做友元与类做友元

C笔记之全局函数做友元与类做友元 code review! 文章目录 C笔记之全局函数做友元与类做友元1.全局函数做友元2.类作友元 1.全局函数做友元 代码 #include <iostream> using namespace std;class MyClass { private:int x; public:MyClass(int a) : x(a) {}friend void…

互斥锁概念使用

互斥锁的创建两种方式 1.动态方式 #include <pthread.h> #include <stdio.h> #include <unistd.h> #include <string.h> FILE *fp; void *func2(void *arg) {pthread_detach(pthread_self());printf("this is func2 thread\n");char str2[]…

mybatis入门的环境搭建及快速完成CRUD(增删改查)

又是爱代码的一天 一、MyBatis的介绍 ( 1 ) 背景 MyBatis 的背景可以追溯到 2002 年&#xff0c;当时 Clinton Begin 开发了一个名为 iBATIS 的持久化框架。iBATIS 的目标是简化 JDBC 编程&#xff0c;提供一种更直观、易用的方式来处理数据库操作。 在传统的 JDBC 编程中&…

【大数据】Flink 详解(五):核心篇 Ⅳ

Flink 详解&#xff08;五&#xff09;&#xff1a;核心篇 Ⅳ 45、Flink 广播机制了解吗&#xff1f; 从图中可以理解 广播 就是一个公共的共享变量&#xff0c;广播变量存于 TaskManager 的内存中&#xff0c;所以广播变量不应该太大&#xff0c;将一个数据集广播后&#xff0…

代码随想录算法训练营day39 | 62. 不同路径,63. 不同路径 II

目录 62. 不同路径 63. 不同路径 II 62. 不同路径 类型&#xff1a;动态规划 难度&#xff1a;medium 思路&#xff1a; 应用二维数组的动态规划&#xff0c;到达某个方格的方法数目&#xff0c;为这个方格的上一个方格和左一个方格的方法数目和。 需要先初始化第一行和第一…

ubuntu安装Microsoft Edge并设置为中文

1、下载 edge.deb 版本并安装 sudo dpkg -i microsoft-edg.deb 2. 设置默认中文显示 如果是通过.deb方式安装的&#xff1a; 打开默认安装路径下的microsoft-edge-dev文件&#xff0c;在文件最开头加上: export LANGUAGEZH-CN.UTF-8 &#xff0c;保存退出。 cd /opt/micr…

【Redis】什么是缓存击穿,如何预防缓存击穿?

【Redis】什么是缓存击穿&#xff0c;如何预防缓存击穿&#xff1f; 缓存击穿是指一个 Key 非常热点&#xff0c;大并发集中对这一个点进行访问&#xff0c;当这个Key 在失效的瞬间&#xff0c;持续的大并发就会穿破缓存&#xff0c;直接请求数据库。缓存击穿和缓存雪崩的区别…

代码随想录-字符串01 344.反转字符串541. 反转字符串II替换空格翻转字符串里的单词左旋转字符串

题目目录 ● 344.反转字符串 ● 541. 反转字符串II ● 剑指Offer 05.替换空格 ● 151.翻转字符串里的单词 ● 剑指Offer58-II.左旋转字符串 344.反转字符串 344.反转字符串 很经典的字符串考察点&#xff0c;考察对双指针的熟悉程度。 解法是通过双指针从字符串数组两边向中…

JavaScript函数式编程【进阶】

作者&#xff1a;20岁爱吃必胜客&#xff08;坤制作人&#xff09;&#xff0c;近十年开发经验, 跨域学习者&#xff0c;目前于海外某世界知名高校就读计算机相关专业。荣誉&#xff1a;阿里云博客专家认证、腾讯开发者社区优质创作者&#xff0c;在CTF省赛校赛多次取得好成绩。…

Linux 安全技术和防火墙

目录 1 安全技术 2 防火墙 2.1 防火墙的分类 2.1.1 包过滤防火墙 2.1.2 应用层防火墙 3 Linux 防火墙的基本认识 3.1 iptables & netfilter 3.2 四表五链 4 iptables 4.2 数据包的常见控制类型 4.3 实际操作 4.3.1 加新的防火墙规则 4.3.2 查看规则表 4.3.…

7-7 验证“哥德巴赫猜想”

分数 20 全屏浏览题目 切换布局 作者 徐镜春 单位 浙江大学 数学领域著名的“哥德巴赫猜想”的大致意思是&#xff1a;任何一个大于2的偶数总能表示为两个素数之和。比如&#xff1a;24519&#xff0c;其中5和19都是素数。本实验的任务是设计一个程序&#xff0c;验证20亿以…

认识负载均衡||WEBSHELL

目录 一、负载均衡 1.nginx负载均衡算法 2.nginx反向代理-负载均衡 二、webshell 1.构造不含数字和字母的webshell 2.如何绕过 一、负载均衡 1.nginx负载均衡算法 &#xff08;1&#xff09;轮询&#xff08;默认&#xff09;每个请求按时间顺序逐一分配到不同的后端服务&…

听GPT 讲Prometheus源代码--rules

Prometheus的rules目录主要包含规则引擎和管理规则的文件: engine.go 该文件定义了规则引擎的接口和主要结构,包括Rule,Record,RuleGroup等。它提供了规则的加载、匹配、评估和结果记录的功能。 api.go 定义了用于管理和查询规则的RESTful API,包括获取、添加、删除规则等方法。…