一.RBAC简单说明

在kubernetes中,授权有6种模式:

  • ABAC(基于属性的访问控制)
  • RBAC(基于角色的访问控制)
  • Webhook
  • Node
  • AlwaysDeny(一直拒绝)
  • AlwaysAllow(一直允许)

    从1.6版本起,kubenetes默认启用RBAC访问控制策略,从1.8开始,RBAC已作为稳定的功能,通过设置-authorization-mode=RBA,启用RBAC。在RBAC API中,可以通过如下的步骤进行授权:

    1)定义角色:在定义角色时,会指定此角色对于资源的访问控制的规则。

    2)绑定角色:将主体与角色进行绑定,对角色进行访问授权。

二.详细介绍

2.1 角色和集群角色

在RBAC API中,角色包含代表权限集合的规则。在这里,权限只有被授予,没有被拒绝的设置。在kubernetes集群中有两种角色,即:

  • 普通角色

    可以通过Role定义一个在命名空间的角色。一个角色只能被用来授予访问单一命名空间中的资源。具体可以参考如下: 
    kind: Role
    
apiVersion: rbac.authorization.k8s.io/v1
    
metadata:
    
  namespace: default
    
  name: pod-role-read
    
rules:
    
- apiGroups: [""] # "" indicates the core API group
    
  resources: ["pods"]
    
  verbs: ["get", "watch", "list"]
  • 集群角色

    使用ClusterRole定义集群范围的角色。集群角色(ClusterRole)能够被授予如下资源的权限:

    1.集群范围的资源(类似于Node)

    2.非资源端点(类似于"/healthz")

    3.集群中所有命名空间的资源(类似Pod)

    下面是授予集群角色读取秘钥字典文件访问权限示例: 
    kind:ClusterRole
    
apiVersion:rbac.authorization.k8s.io/v1
    
metadata:
    
  # "namespace" omitted since ClusterRoles are not namespaced
    
  name:secret-read
    
rules:
    
- apiGroups:[""]
    
  resources:["secrets"] #明确资源类型
    
  verbs:["get","watch","list"]

2.2 角色绑定和集群角色绑定

角色绑定用于将角色与一个或一组用户进行绑定,从而实现对用户进行授权的目的。主体分为用户、组和服务账户。

角色绑定分为:

  • 普通角色绑定

    角色绑定只能引用同一个命名空间下的角色。

    示例:下面的例子中,在default的命名空间中角色绑定将"yuhaohao"用户和"pod-role-read"角色进行了绑定,这就授予了"yuhaohao"访问"default"命名空间下的Pod:

    kind:RoleBinding
    
apiVersion:rbac.authorization.k8s.io/v1
    
metadata:
    
  name:read-pods
    
  namespace:default
    
subjects: #主体
    
- kind:User
    
  name:yuhaohao
    
  apiGroup:rbac.authorization.k8s.io
    
roleRef: #引用的角色
    
  kind:Role
    
  name:pod-role-read
    
  apiGroup:rbac.authorization.k8s.io

    角色绑定也可以通过引用集群角色授予访问权限,但主体对资源的访问权限仅限于本命名空间。这就允许管理员定义整个集群的公共角色集合,然后在多个命名空间中进行复用。

    示例:下面的角色绑定引用了集群角色,但是"yuhaohao"用户只能读取"business"命名空间下的secret资源:

    kind:RoleBinding
    
apiVersion:rbac.authorization.k8s.io/v1
    
metadata:
    
  name:read-secrets
    
  namespace:business# This only grants permissions within the "business" namespace.
    
subjects:
    
- kind:User
    
  name:yuhaohao
    
  apiGroup:rbac.authorization.k8s.io
    
roleRef:
    
  kind:ClusterRole
    
  name:secret-read
    
  apiGroup:rbac.authorization.k8s.io

  • 集群角色绑定

    集群角色可以用来在集群层面和整个命名空间下进行授权。

    示例:下面的例子可以允许在"yuhaohao"组的用户能够访问到所有命名空间下的秘钥资源:

    kind:ClusterRoleBinding
    
apiVersion:rbac.authorization.k8s.io/v1
    
metadata:
    
  name:read-secrets-global
    
subjects:
    
- kind:Group
    
  name:yuhaohao
    
  apiGroup:rbac.authorization.k8s.io
    
roleRef:
    
  kind:ClusterRole
    
  name:secret-read
    
  apiGroup:rbac.authorization.k8s.io

2.3 资源

在kubernetes集群中,主要包含:Pod、Node、Service、Deployment、Namespace、Secret、Configmap等资源。另外有些资源下面存在子资源,例如Pod下就存在log子资源:```

GET /api/v1/namespaces/{namespace}/pods/{name}/log

下面的示例中,pod-and-log-role角色能够对"pods"和"pods/log"进行访问:

kind:Role

apiVersion:rbac.authorization.k8s.io/v1

metadata:

 namespace:default

 name:pod-and-pod-role

rules:

- apiGroups:[""]

  resources:["pods","pods/log"]

  verbs:["get","list"]

这里还可以通过resourceNames指定特定的资源实例,以限制角色对实例的访问控制:

kind:Role

apiVersion:rbac.authorization.k8s.io/v1

metadata:

  namespace:default

  name:configmap-updater

rules:

- apiGroups:[""]

  resources:["configmaps"]

  resourceNames:["my-configmap"]

  verbs:["update","get"]

2.4 主体

RBAC授权的主机可以是组、用户或服务账户。用户通过字符串标识,例如"yuhaohao"等,具体的形式取决于管理员在认证模块中所配置的用户名。

"system:"被保留作为用于kubernetes系统使用,因此不能作为用户的前缀,组也有认证模块提供,格式与用户类似。

在角色绑定主体的例子:

  • 名称为"yuhaohao"用户:

    subjects:
    
- kind:User
    
  name:"yuhaohao"
    
  apiGroup:rbac.authorization.k8s.io

  • 名称为"yuhao"的组:

    subjects:
    
- kind:Group
    
  name:"yuhao"
    
  apiGroup:rbac.authorization.k8s.io

  • 在kube-system命名空间中,名称为"default"的服务账户

    subjects:
    
- kind:ServiceAccount
    
  name:default
    
  namespace:kube-system

  • 在business命名空间中,所有的服务账户

    subjects:
    
- kind:Group
    
  name:system:serviceaccounts:business
    
  apiGroup:rbac.authorization.k8s.io

  • 所有的服务账户

    subjects:
    
- kind:Group
    
  name:system:serviceaccounts
    
  apiGroup:rbac.authorization.k8s.io

  • 所有被认证的用户(K8S 1.5+)

    subjects:
    
- kind:Group
    
  name:system:authenticated
    
  apiGroup:rbac.authorization.k8s.io

  • 所有未被认证的用户(K8S 1.5+)

    subjects:
    
- kind:Group
    
  name:system:unauthenticated
    
  apiGroup:rbac.authorization.k8s.io

  • 所有的用户(K8S 1.5+)

    subjects:
    
- kind:Group
    
  name:system:authenticated
    
  apiGroup:rbac.authorization.k8s.io
    
- kind:Group
    
  name:system:unauthenticated
    
  apiGroup:rbac.authorization.k8s.io

本文参考链接:https://www.kubernetes.org.cn/4062.html

官网链接:https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/

其它优秀博客链接:https://juejin.cn/post/7116104973644988446

kubernetes之RBAC介绍的更多相关文章

  1. Kubernetes 基于 RBAC 的授权(十六)

    目录 一.RBAC介绍 1.1.角色和集群角色 1.2.RoleBinding 和 ClusterRoleBinding 1.3.资源 1.4.主体 二.命令行工具 2.1.kubectl creat ...

  2. RBAC 介绍 (权限)

    RBAC是什么? RBAC是基于角色的访问控制(Role-Based Access Control )在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限.这就极大地简化了权 ...

  3. Kubernetes中StatefulSet介绍

    StatefulSet 是Kubernetes1.9版本中稳定的特性,本文使用的环境为 Kubernetes 1.11.如何搭建环境可以参考kubeadm安装kubernetes V1.11.1 集群 ...

  4. Openresty最佳案例 | 第8篇:RBAC介绍、sql和redis模块工具类

    转载请标明出处: http://blog.csdn.net/forezp/article/details/78616738 本文出自方志朋的博客 RBAC介绍 RBAC(Role-Based Acce ...

  5. K8s - Kubernetes重要概念介绍(Cluster、Master、Node、Pod、Controller、Service、Namespace)

    K8s - Kubernetes重要概念介绍(Cluster.Master.Node.Pod.Controller.Service.Namespace)       Kubernetes 是目前发展最 ...

  6. 16.kubernetes的RBAC

    role 分为clsterrole和role 我们从普通的role 开始理解起 [root@master ~]# kubectl create role pod-read --verb=get,lis ...

  7. Kubernetes之RBAC

    API Server的授权管理 API Server 内部通过用户认证后,然后进入授权流程.对合法用户进行授权并且随后在用户访问时进行鉴权,是权限管理的重要环节.API Server 目前支持一下几种 ...

  8. 一、Kubernetes系列之介绍篇

      •Kubernetes介绍 1.背景介绍 云计算飞速发展 - IaaS - PaaS - SaaS Docker技术突飞猛进 - 一次构建,到处运行 - 容器的快速轻量 - 完整的生态环境 2.什 ...

  9. kubernetes资源类别介绍

    类别 名称 资源对象 Pod.ReplicaSet.ReplicationController.Deployment.StatefulSet.DaemonSet.Job.CronJob.Horizon ...

  10. Django的Rbac介绍2

    上一篇博客我们记录了一下Django中使用Rbac,但是上一篇博客中的方法有一点不好,就是,因为我要在html文件中控制:如果用户有某个权限,则显示这个权限所代表的按钮,但是我现在只有1张表的增删改查 ...

随机推荐

  1. Go语言之sync包 WaitGroup的使用

    WaitGroup 是什么以及它能为我们解决什么问题? WaitGroup在go语言中,用于线程同步,单从字面意思理解,wait等待的意思,group组.团队的意思,WaitGroup就是指等待一组, ...

  2. 基于pandas的数据清洗 -- 重复值的清洗

    博客地址:https://www.cnblogs.com/zylyehuo/ 开发环境 anaconda 集成环境:集成好了数据分析和机器学习中所需要的全部环境 安装目录不可以有中文和特殊符号 jup ...

  3. 栈的应用(后进先出 LIFO)--括号匹配问题

    博客地址:https://www.cnblogs.com/zylyehuo/ # -*- coding: utf-8 -*- class Stack: def __init__(self): self ...

  4. celery 启动显示警告信息“...whether broker connection retries are made during startup in Celery 6.0 and above...”

    博客地址:https://www.cnblogs.com/zylyehuo/ # celery作为一个单独项目运行,在settings文件中设置 broker_connection_retry_on_ ...

  5. 【虚拟机】VirualBox安装macOS系统

    [虚拟机]VirualBox安装macOS系统 零.创建虚拟机 类型选择 Mac OS X 版本选择 macOS 10.13 High Sierra (64-bit) 注意:这边我设置的名称为 Mac ...

  6. IP地址查询服务

    IP地址查询站点 https://ip.cn/ http://ip.qq.com/ http://ip138.com/ https://www.apnic.net/ ... IP计算 ip地址在线计算 ...

  7. datasnap的restful服务器

    说真话,这玩意真的简单好用.但你要控制好: 1.内存泄漏和异常处理好: 2.有没有发现,通过服务器对数据库进行读写时,在资源管理器中,如果是sql server,就会看到连接1433的连接一直挂在那里 ...

  8. dify升级,PostgreSQL数据库字段更新处理

    一.概述 dify运行在容器中,PostgreSQL用的是阿里云,已经运行了很长一段时间.某些表的数据量很大,比如workflowruns表,就有100GB.这个主要是,详细记录了工作流的执行情况,包 ...

  9. 『Plotly实战指南』--箱线图绘制与应用

    在数据可视化领域,箱线图(Box Plot)是一种强大的工具,用于展示数据的分布特征.集中趋势以及异常值. 它不仅能够快速揭示数据的偏态.离散程度,还能帮助我们识别潜在的数据问题. 本文将从基础绘制到 ...

  10. 快戳进来!PostgreSQL实战型系列文章来了!

    快戳进来!PostgreSQL实战型系列文章来了! Whoami:6年+金融.政府.医疗领域工作经验的DBA Certificate:PGCM.OCP.YCP Skill:Oracle.Mysql.P ...