1、基本说明

  在生产环境使用k8s以后,大部分应用都实现了高可用,不仅降低了维护成本,也简化了很多应用的部署成本,但是同时也带来了诸多问题。比如开发可能需要查看自己的应用状态、连接信息、日志、执行命令等。

  使用k8s后,业务应用以Pod为单位,不像之前的以服务器为单位,可以直接通过登录服务器进行相关操作。当业务应用使用k8s部署后,k8s官方的dashboard虽然可以进行查看日志、执行命令等基本操作,但是作为运维人员,不想让开发操作或查看自己范围之外的Pod,此时就要使用RBAC进行相关的权限配置。

  本文章主要讲解两方面的问题:

    • 使用用户名密码登录Dashboard
    • 对已登录用户进行权限配置,实现只能操作自己Namespace的Pod,不能进入到未授权的其他Namespace

2、更改Dashboard认证方式

  为了方便开发和运维人员登录Dashboard,需要将Dashboard登录方式用户名密码认证(用户名密码和Token可以同时开启)。

  使用Ratel将kubernetes-dashboard的deployment的--authentication-mode改成basic即可,未安装Ratel的可以使用kubectl edit进行更改,更改完成会自动重启。

  之后更改kube-apiserver配置添加--basic-auth-file=/etc/kubernetes/basic_auth_file

  basic_auth_file为存储账号密码的文件,格式如下:

xxx1_2019,xxx1,,"system:authentication"

xxx2_2019,xxx2,,"system:authentication"

xxx3_2019,xxx3,,"system:authentication"

xxx4_2019,xxx4,,"system:authentication"

  依次是密码、用户名、ID号、用户组,因为下面会为已登录的用户进行授权,所以把组设置成了system:authentication,按需更改。

3、添加默认权限

  首先配置一个system:authentication组允许查询namespace列表(因为进入到指定namespace,必须能list该集群的namespace):

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

  annotations:

    rbac.authorization.kubernetes.io/autoupdate: "true"

  labels:

    kubernetes.io/bootstrapping: rbac-defaults

    rbac.authorization.k8s.io/aggregate-to-edit: "true"

  name: ratel-namespace-readonly

rules:

- apiGroups:

  - ""

  resources:

  - namespaces

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - metrics.k8s.io

  resources:

  - pods

  verbs:

  - get

  - list

  - watch

---

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRoleBinding

metadata:

  name: ratel-namespace-readonly

roleRef:

  apiGroup: rbac.authorization.k8s.io

  kind: ClusterRole

  name: ratel-namespace-readonly

subjects:

- apiGroup: rbac.authorization.k8s.io

  kind: Group

  name: system:authentication

  创建查看namespace资源的权限

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

  name: ratel-resource-readonly

rules:

- apiGroups:

  - ""

  resources:

  - configmaps

  - endpoints

  - persistentvolumeclaims

  - pods

  - replicationcontrollers

  - replicationcontrollers/scale

  - serviceaccounts

  - services

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - ""

  resources:

  - bindings

  - events

  - limitranges

  - namespaces/status

  - pods/log

  - pods/status

  - replicationcontrollers/status

  - resourcequotas

  - resourcequotas/status

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - ""

  resources:

  - namespaces

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - apps

  resources:

  - controllerrevisions

  - daemonsets

  - deployments

  - deployments/scale

  - replicasets

  - replicasets/scale

  - statefulsets

  - statefulsets/scale

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - autoscaling

  resources:

  - horizontalpodautoscalers

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - batch

  resources:

  - cronjobs

  - jobs

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - extensions

  resources:

  - daemonsets

  - deployments

  - deployments/scale

  - ingresses

  - networkpolicies

  - replicasets

  - replicasets/scale

  - replicationcontrollers/scale

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - policy

  resources:

  - poddisruptionbudgets

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - networking.k8s.io

  resources:

  - networkpolicies

  verbs:

  - get

  - list

  - watch

- apiGroups:

  - metrics.k8s.io

  resources:

  - pods

  verbs:

  - get

  - list

  - watch

  创建Pod执行权限

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

  name: ratel-pod-exec

rules:

- apiGroups:

  - ""

  resources:

  - pods

  - pods/log

  verbs:

  - get

  - list

- apiGroups:

  - ""

  resources:

  - pods/exec

  verbs:

  - create

  创建Pod删除权限

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRole

metadata:

  name: ratel-pod-delete

rules:

- apiGroups:

  - ""

  resources:

  - pods

  verbs:

  - get

  - list

  - delete

  上述权限创建完成后,只需要将对应的用户绑定对应的权限即可实现不同的用户在不同的namespace实现不同的权限。

  对RBAC不熟悉的可以参考https://www.cnblogs.com/dukuan/p/9948063.html

  或者参考书籍《再也不踩坑的Kubernetes实战指南》第二章。

4、配置权限

  

  案例:假设有一个用户叫java7,需要访问default命名空间下的资源,可以在容器执行命令和查看日志

  添加权限之前是不能查看任何信息的:

  配置权限:

    方式一:使用Ratel一键配置,选择对应的集群、Namespace、用户名、勾选权限点击创建即可。 

    创建成功后再次登录,即可查看该Namespace的信息

    查看日志:

 

    执行命令:

 

    同时也不能查看其他namespace的资源

    

    方式二:使用yaml文件配置

    使用Ratel进行权限配置,在配置权限后在对应的namespace下创建对应的RoleBinding,如下:

[root@k8s-master01 ~]# kubectl get rolebinding

NAME                            AGE

gitlab                          112d

ratel-pod-delete-java7          11m

ratel-pod-exec-java7            11m

ratel-resource-readonly-java7   11m

    内容如下:

ource-readonly-java7 -o yaml

apiVersion: v1

items:

- apiVersion: rbac.authorization.k8s.io/v1

  kind: RoleBinding

  metadata:

    creationTimestamp: "2019-12-03T07:34:24Z"

    name: ratel-pod-delete-java7

    namespace: default

    resourceVersion: ""

    selfLink: /apis/rbac.authorization.k8s.io/v1/namespaces/default/rolebindings/ratel-pod-delete-java7

    uid: 547f5d42-159f-11ea-b1b5-001e674e3dd6

  roleRef:

    apiGroup: rbac.authorization.k8s.io

    kind: ClusterRole

    name: ratel-pod-delete

  subjects:

  - apiGroup: rbac.authorization.k8s.io

    kind: User

    name: java7

- apiVersion: rbac.authorization.k8s.io/v1

  kind: RoleBinding

  metadata:

    creationTimestamp: "2019-12-03T07:34:24Z"

    name: ratel-pod-exec-java7

    namespace: default

    resourceVersion: ""

    selfLink: /apis/rbac.authorization.k8s.io/v1/namespaces/default/rolebindings/ratel-pod-exec-java7

    uid: 547c5768-159f-11ea-b1b5-001e674e3dd6

  roleRef:

    apiGroup: rbac.authorization.k8s.io

    kind: ClusterRole

    name: ratel-pod-exec

  subjects:

  - apiGroup: rbac.authorization.k8s.io

    kind: User

    name: java7

- apiVersion: rbac.authorization.k8s.io/v1

  kind: RoleBinding

  metadata:

    creationTimestamp: "2019-12-03T07:34:24Z"

    name: ratel-resource-readonly-java7

    namespace: default

    resourceVersion: ""

    selfLink: /apis/rbac.authorization.k8s.io/v1/namespaces/default/rolebindings/ratel-resource-readonly-java7

    uid: 5476577f-159f-11ea-b1b5-001e674e3dd6

  roleRef:

    apiGroup: rbac.authorization.k8s.io

    kind: ClusterRole

    name: ratel-resource-readonly

  subjects:

  - apiGroup: rbac.authorization.k8s.io

    kind: User

    name: java7

kind: List

metadata:

  resourceVersion: ""

  selfLink: ""

    在没有安装Ratel的情况下,可以使用上述yaml内容直接创建至对应的namespace下即可完成权限配置。

     上述只是实现了对常用资源的权限控制,其他权限控制类似。

     Kubernetes多集群资源管理平台Ratel安装可以参考:https://github.com/dotbalo/ratel-doc

kubernetes实战(二十九):Kubernetes RBAC实现不同用户在不同Namespace的不同权限的更多相关文章

  1. kubernetes实战(二十八):Kubernetes一键式资源管理平台Ratel安装及使用

    1. Ratel是什么? Ratel是一个Kubernetes资源平台,基于管理Kubernetes的资源开发,可以管理Kubernetes的Deployment.DaemonSet.Stateful ...

  2. kubernetes实战(二十六):kubeadm 安装 高可用 k8s v1.16.x dashboard 2.x

    1.基本配置 基本配置.内核升级.基本服务安装参考https://www.cnblogs.com/dukuan/p/10278637.html,或者参考<再也不踩坑的Kubernetes实战指南 ...

  3. kubernetes实战(二十五):kubeadm 安装 高可用 k8s v1.13.x

    1.系统环境 使用kubeadm安装高可用k8s v.13.x较为简单,相比以往的版本省去了很多步骤. kubeadm安装高可用k8s v.11 和 v1.12 点我 主机信息 主机名 IP地址 说明 ...

  4. kubernetes实战(二十):k8s一键部署高可用Prometheus并实现邮件告警

    1.基本概念 本次部署使用的是CoreOS的prometheus-operator. 本次部署包含监控etcd集群. 本次部署适用于二进制和kubeadm安装方式. 本次部署适用于k8s v1.10版 ...

  5. Java并发编程原理与实战二十九:Exchanger

    一.简介 前面三篇博客分别介绍了CyclicBarrier.CountDownLatch.Semaphore,现在介绍并发工具类中的最后一个Exchange.Exchange是最简单的也是最复杂的,简 ...

  6. 应用程序框架实战二十九:Util Demo介绍

    上文介绍了我选择EasyUi作为前端框架的原因,并发放了最新Demo.本文将对这个Demo进行一些介绍,以方便你能够顺利运行起来. 这个Demo运行起来以后,是EasyUi的一个简单CRUD操作,数据 ...

  7. 《手把手教你》系列技巧篇(二十九)-java+ selenium自动化测试- Actions的相关操作上篇(详解教程)

    1.简介 有些测试场景或者事件,Selenium根本就没有直接提供方法去操作,而且也不可能把各种测试场景都全面覆盖提供方法去操作.比如:就像鼠标悬停,一般测试场景鼠标悬停分两种常见,一种是鼠标悬停在某 ...

  8. Bootstrap <基础二十九>面板(Panels)

    Bootstrap 面板(Panels).面板组件用于把 DOM 组件插入到一个盒子中.创建一个基本的面板,只需要向 <div> 元素添加 class .panel 和 class .pa ...

  9. Web 开发人员和设计师必读文章推荐【系列二十九】

    <Web 前端开发精华文章推荐>2014年第8期(总第29期)和大家见面了.梦想天空博客关注 前端开发 技术,分享各类能够提升网站用户体验的优秀 jQuery 插件,展示前沿的 HTML5 ...

随机推荐

  1. VBoxManage.exe: error: Failed to instantiate CLSID_VirtualBox w/ IVirtualBox, CL SID_VirtualBox w/ IUnknown works.

    我先把vagrantbox卸载了 重新装了一个 然后提示这个错误 当时我一脸蒙逼 后来经过百度 1, win+r 快捷键打开 “运行”,输入regedit 打开注册表 2,找到 HKEY_CLASSE ...

  2. Tesseract引擎编译

    1. 工具包下载链接 libtiff 4.09 http://download.osgeo.org/libtiff/tiff-4.0.9.zip leptonica 1.76.0 http://www ...

  3. CentOS生产环境无网络安装percona-xtrabackup2.4【RPM安装教程】

    Percona XtraBackup 8.0不支持对在MySQL 8.0之前的版本,Percona Server for MySQL或 Percona XtraDB Cluster中创建的数据库进行备 ...

  4. 【XSY2525】Maze 2017多校

    Description 考虑一个 N×M 的网格,每个网格要么是空的,要么是障碍物.整个网格四周都是墙壁(即第1行和第n行,第1列和第m列都是墙壁),墙壁有且仅有两处开口,分别代表起点和终点.起点总是 ...

  5. 和manacher有关的乱写

    当初学kmp hash的时候被教导manacher非常的鸡肋 今天因为一篇神奇的题解我忍不住颓废了两节课把它学了 思路,代码都比较好懂 虽然它不如各种自动机霸气,唯一的功能貌似就是$O(n)$求出所有 ...

  6. Linux | 性能分析系列学习 (1)

    学习重点: 把观察到的性能问题跟系统原理关联起来,特别是把系统从应用程序.库函数.系统调用.再到内核和硬件等不同的层级贯穿起来. 主要是四个方面:CPU 性能.磁盘 I/O 性能.内存性能以及网络性能 ...

  7. php编辑器notepad++ 推荐一款非常好看主题和字体

    php编辑器notepad++ 推荐一款非常好看主题和字体1.主题名称:Obsidian 2.字体字号:Courier New 10 3.设置方法:设置---语言格式设置---选择主题,同时勾选“使用 ...

  8. nsq (三) 消息传输的可靠性和持久化[二]diskqueue

    上一篇主要说了一下nsq是如何保证消息被消费端成功消费,大概提了一下消息的持久化,--mem-queue-size 设置为 0,所有的消息将会存储到磁盘. 总有人说nsq的持久化问题,消除疑虑的方法就 ...

  9. docker——数据卷volume:文件共享

    volume——如何让容器中的一个目录与宿主机的一个目录进行绑定,实现容器与宿主机之间的文件共享? 数据卷volume功能特性 数据卷:是一个可供一个或多个容器使用的特殊目录,实现让容器中的一个目录和 ...

  10. XML解析之Jsoup

    操作xml文件 解析(读取):将文档中的数据解读到内存中 写入:将内存中的数据保存到XML文档中.持久化的存储 解析xml的方式 DOM:将标记语言文档一次性加载进内存,在内存中形成一颗dom树 优点 ...