文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

kubernetes中如何实现RBAC 角色访问控制

2023-06-04 10:45

关注

小编给大家分享一下kubernetes中如何实现RBAC 角色访问控制,希望大家阅读完这篇文章之后都有所收获,下面让我们一起去探讨吧!

一:RBAC体系结构
kubernetes中如何实现RBAC 角色访问控制
二:RBAC角色绑定流程
kubernetes中如何实现RBAC 角色访问控制
三:说明
1.RBAC的优势
a.对集群中的资源和非资源权限均有完整覆盖
b.RBAC由API对象完成,可以用Kubectl或API进行操作
c.可以在允许时进行调整,无须重新启动API Server

2.Role
一个角色就是一组权限的集合,在一个命名空间中,可以使用Role定义一个角色,如果是集群级别的可以使用ClusterRole.

3.ClusterRole
除了和Role一样具有命名空间内资源的管理能力,还可以用于特殊元素的授权。如:
a.集群范围的资源,node等
b.非资源型的路径,如“/healthz”
c.涵盖全部命名空间的资源

4.RoleBinding和ClusterRoleBinding
两者用于把一个角色绑定到一个目标上,如User,Group或Service Account. RoleBinding可以引用Role和ClusterRole, ClusterRoleBinding仅可以引用ClusterRole.

5.对资源的引用方式
a.使用“/”来分隔资源和下级资源  如:resources: ["pods", "pods/log"]
b.通过名字进行引用   如:resourceNames: ["my-configmap"]

6.常用角色示
a.运行读取核心API组中的POD资源

点击(此处)折叠或打开

  1. rules:

  2. - apiGroups: [""]

  3.   resources: ["pods"]

  4.   verbs: ["get", "list", "watch"]

b.运行读写“extensions”和"apps"两个API组中的deployment资源

点击(此处)折叠或打开

  1. rules:

  2. - apiGroups: ["extensions", "apps"]

  3.   resources: ["deployments"]

  4.   verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

7.常用角色绑定示例
a.绑定Kube-system命名空间中默认的service-account

点击(此处)折叠或打开

  1. subjects:

  2. - kind: ServiceAccount

  3.   name: default

  4.   namespace: kube-system

b.qa命名空间中的所有service account

点击(此处)折叠或打开

  1. subjects:

  2. - kind: Group

  3.   name: system:serviceaccounts:qa

  4.   apiGroup: rbac.authorization.k8s.io

c.所有认证用户

点击(此处)折叠或打开

  1. subjects:

  2. - kind: Group

  3.   name: system:authenticated

  4.   apiGroup: rbac.authorization.k8s.io

8.对Service Account的授权管理
kube-system之外的service account 是没有任何权限的,这就需要用户为service account赋予所需的权限。如:

点击(此处)折叠或打开

  1. kubectl create rolebinding default-view \

  2.   --clusterrole=view \

  3.   --serviceaccount=my-namespace:default \

  4.   --namespace=my-namespace

看完了这篇文章,相信你对“kubernetes中如何实现RBAC 角色访问控制”有了一定的了解,如果想了解更多相关知识,欢迎关注编程网行业资讯频道,感谢各位的阅读!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯