一、kubectl proxy

# kubectl proxy --port=8080

# curl http://localhost:8080/api/v1/

# curl http://localhost:8080/apis/apps/v1/namespaces/kube-system/deployments/

二、serviceaccount资源

  • 创建自定义serviceaccount:用于pod与api通信的认证账号
# kubectl create serviceaccount admin

serviceaccount/admin created

# kubectl create serviceaccount dongfei -o yaml --dry-run  #生成配置清单

apiVersion: v1

kind: ServiceAccount

metadata:

  creationTimestamp: null

  name: dongfei

# kubectl get sa  #sa,serviceaccount的简写

NAME      SECRETS   AGE

admin     1         5s

default   1         77d

# kubectl describe sa admin

Name:                admin

Namespace:           default

Labels:              <none>

Annotations:         <none>

Image pull secrets:  <none>

Mountable secrets:   admin-token-76kb7

Tokens:              admin-token-76kb7

Events:              <none>

# kubectl get secret

NAME                  TYPE                                  DATA   AGE

admin-token-76kb7     kubernetes.io/service-account-token   3      36s

default-token-4q4c9   kubernetes.io/service-account-token   3      77d

mysql-root-password   Opaque                                1      7d21h
  • 应用自定义serviceaccount
apiVersion: v1

kind: Pod

metadata:

  name: pod-sa-demo

  namespace: default

  labels:

    app: myapp

spec:

  containers:

  - name: myapp

    image: ikubernetes/myapp:v1

    ports:

    - name: http

      containerPort: 80

  serviceAccountName: admin


# kubectl describe pods pod-sa-demo |grep -A4 Volumes

Volumes:

  admin-token-76kb7:

    Type:        Secret (a volume populated by a Secret)

    SecretName:  admin-token-76kb7

    Optional:    false

三、RBAC 基于角色的访问控制

1、apiserver客户端配置及创建UserAccount用户

  • apiserver客户端配置文件
# kubectl config view

apiVersion: v1

clusters:

- cluster:

    certificate-authority-data: DATA+OMITTED

    server: https://192.168.100.51:6443

  name: kubernetes

contexts:

- context:

    cluster: kubernetes

    user: kubernetes-admin

  name: kubernetes-admin@kubernetes

current-context: kubernetes-admin@kubernetes

kind: Config

preferences: {}

users:

- name: kubernetes-admin

  user:

    client-certificate-data: REDACTED

    client-key-data: REDACTED
  • 制作连接apiserver的证书,创建用户
# cd /etc/kubernetes/pki/

# (umask 077;openssl genrsa -out dongfei.key 2048)

# openssl req -new -key dongfei.key -out dongfei.csr -subj "/CN=dongfei"

# openssl x509 -req -in dongfei.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out dongfei.crt -days 365

# openssl x509 -in dongfei.crt -text -noout  #查看

# kubectl config set-credentials dongfei --client-certificate=./dongfei.crt --client-key=./dongfei.key --embed-certs=true

# kubectl config set-context dongfei@kubernetes --cluster=kubernetes --user=dongfei
  • 切换上下文
# kubectl config use-context dongfei@kubernetes

# kubectl config view

# kubectl config use-context kubernetes-admin@kubernetes
  • 创建kubectl配置文件
# kubectl config set-cluster mycluster --kubeconfig=/tmp/test.conf --server="https://192.168.100.51:6443" --certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true

# kubectl config view --kubeconfig=/tmp/test.conf

2、Role角色

  • 创建Role
# kubectl create role pods-reader --verb=get,list,watch --resource=pods --dry-run -o yaml > role-demo.yaml

# vim role-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: Role

metadata:

  creationTimestamp: null

  name: pods-reader

  namespace: default

rules:

- apiGroups:

  - ""

  resources:

  - pods

  verbs:

  - get

  - list

  - watch

# kubectl apply -f role-demo.yaml

# kubectl get role

# kubectl describe role pods-reader

3、rolebinding

  • 创建user和role的绑定关系
# kubectl create rolebinding dongfei-read-pods --role=pods-reader --user=dongfei -o yaml --dry-run > rolebinding-demo.yaml

# vim rolebinding-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: RoleBinding

metadata:

  creationTimestamp: null

  name: dongfei-read-pods

roleRef:

  apiGroup: rbac.authorization.k8s.io

  kind: Role

  name: pods-reader

subjects:

- apiGroup: rbac.authorization.k8s.io

  kind: User

  name: dongfei

# kubectl apply -f rolebinding-demo.yaml

# kubectl get rolebinding

# kubectl describe rolebinding dongfei-read-pods
  • 测试账号权限
# kubectl config use-context dongfei@kubernetes

# kubectl get pods  #默认名称空间有权限

# kubectl get pods -n kube-system  #无权限
  • 删除rolebinding
# kubectl delete rolebinding dongfei-read-pods

4、clusterrole

  • 创建clusterrole
# kubectl create clusterrole cluster-reader --verb=get,list,watch --resource=pods -o yaml --dry-run -o yaml > clusterrole-demo.yaml

# vim clusterrole-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

  creationTimestamp: null

  name: cluster-reader

rules:

- apiGroups:

  - ""

  resources:

  - pods

  verbs:

  - get

  - list

  - watch

# kubectl apply -f clusterrole-demo.yaml

5、clusterrolebinding

  • user-绑定-clusterrole
# kubectl create clusterrolebinding dongfei-read-all-pods --clusterrole=cluster-reader --user=dongfei --dry-run -o yaml > clusterrolebinding-demo.yaml

# kubectl apply -f clusterrolebinding-demo.yaml

# kubectl describe clusterrolebinding dongfei-read-all-pods
  • 测试
# kubectl config use-context dongfei@kubernetes

# kubectl get pods

# kubectl get pods -n kube-system  #可以访问集群所以的名称空间

6、role绑定至clusterrole

  • role将会降权为所在名称空间内
# kubectl create rolebinding dongfei-read-pods --clusterrole=cluster-reader --user=dongfei

10、kubernetes之RBAC认证的更多相关文章

  1. kubernetes对接第三方认证

    kubernetes对接第三方认证 kubernetes离线安装包地址 概述 本文介绍如何使用github账户去关联自己kubernetes账户.达到如下效果: 使用github用户email作为ku ...

  2. elasticsearch基于RBAC认证和集群之间的TLS通讯

    elasticsearch基于RBAC认证和集群之间的TLS通讯 一.背景 二.需要解决的问题 三.给es增加用户名和密码访问 1.修改config/elasticsearch.yml 2.访问es集 ...

  3. Kubernetes之RBAC

    API Server的授权管理 API Server 内部通过用户认证后,然后进入授权流程.对合法用户进行授权并且随后在用户访问时进行鉴权,是权限管理的重要环节.API Server 目前支持一下几种 ...

  4. Kubernetes 基于 RBAC 的授权(十六)

    目录 一.RBAC介绍 1.1.角色和集群角色 1.2.RoleBinding 和 ClusterRoleBinding 1.3.资源 1.4.主体 二.命令行工具 2.1.kubectl creat ...

  5. K8S从入门到放弃系列-(10)kubernetes集群之kube-proxy部署

    摘要: kube-proxy的作用主要是负责service的实现,具体来说,就是实现了内部从pod到service和外部的从node port向service的访问 新版本目前 kube-proxy ...

  6. 16.kubernetes的RBAC

    role 分为clsterrole和role 我们从普通的role 开始理解起 [root@master ~]# kubectl create role pod-read --verb=get,lis ...

  7. Kubernetes Kubelet安全认证连接Apiserver

    Kubelet使用安全认证连接Apiserver,可以用Token或证书连接.配置步骤如下. 1,生成Token命令 head -c /dev/urandom | od -An -t x | tr - ...

  8. Kubernetes的RBAC是啥

    RBAC: Role-Based Access Control,基于角色的权限控制,有以下三种角色 Role:角色,它其实是一组规则,定义了一组API对象的操作权限 Subject:被作用者,可以是人 ...

  9. Kubernetes/K8s CKA认证全套实训视频教程下载

    地址: 链接:https://pan.baidu.com/s/1bwEUZTCVzqM3mGjrlISbcg 提取码:r1kx 目录: 目录: │ 1-1.kubernetes理论教程 - 云原生技术 ...

随机推荐

  1. MySQL存储引擎MyISAM和InnoDB有哪些区别?

    一.MyISAM和InnoDB的区别有哪些? 1.InnoDB支持事务,MyISAM不支持.对于InnoDB每一条SQL语言都默认封装成事务,自动提交,这样会影响速度,所以最好把多条SQL语言放在be ...

  2. Java版本及历史简述

    Java版本及历史简述 初学Java,对于Java那么多版本很困惑,这里做一点笔记,如有错误希望指出. Java由Sun公司创造,后Sun公司被Oracle公司收购,Java也随之变为Oracle的产 ...

  3. cookie和session的详解和区别

    会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话.常用的会话跟踪技术是Cookie与Session.Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端 ...

  4. python中format所有用法

    平时只用参数匹配,偶尔看到别人的format用法楞住没反应过来,遂记下 #通过位置 print '{0},{1}'.format('hehe',20) print '{},{}'.format('he ...

  5. Spring Cloud,Docker

    Spring Cloud 先决条件 Spring cloud 基于spring boot,spring,java Spring Cloud解决的问题 分布式微服务架构和微服务监控.注册于发现.跟踪等一 ...

  6. linux 之实现定时任务

    一.方式一 (1)命令行 的方法: 一.方式一 需求:每分钟执行一次/etc 目录的添加 到/tmp/a.txt 中 (1) touch a.txt创建文件 (2) crotab -e 进行任务的定制 ...

  7. php后门简单检测脚本

    # coding:utf-8 import os import sys import re rulelist = [ '(\$_(GET|POST|REQUEST)\[.{0,15}\]\(\$_(G ...

  8. CDH5.16.1的Yarn提交任务默认资源分配

    1 同时运行5个Spark任务的资源分配截图 2 每个任务占用3个Container 3个core以及4.5GB内存 也就是说一个Container需要 1个core 以及 512MB的内存 如果资源 ...

  9. 2019.9.27PHP基础

    PHP 基础语法规范: 1 <?php 开头 ?>结尾 2 php可以单独存在也可以和html等结合使用 3后缀名一般以.php结尾 php4,php5,php6,php7,phtml. ...

  10. 关于Vue-$router传参出现刷新页面或者返回页面丢失数据的问题

    也算是踩到坑了,但不是我踩到的,不过还是得说下这个问题,很严重,对于小白和初学者是比较有帮助的,如果使用到路由传参,请选择你想要的传参方式params或者query 1.query this.$rou ...