Kubernetes v1.6开始支持RBAC

原创 已于 2022-03-02 10:04:37 修改 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #RBAC #ABAC

于 2017-04-20 06:54:29 首次发布
本文介绍了Kubernetes v1.6中引入的RBAC(基于角色的访问控制)特性,对比了RBAC与ABAC的不同之处,并阐述了RBAC在Kubernetes中的应用方式及管理权限的灵活性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Kubernetes v1.6的一个亮点就是RBAC认证特性成为了beta版本。RBAC,基于角色的访问控制(Role-Based Access Control),是用于管理Kubernetes资源访问权限的认证机制。RBAC支持灵活的认证策略配置,使得集群在不重启的情况下就可以升级权限。
  本文重点聚焦在一些有趣的新特性和实践上。

RBAC vs ABAC

当前Kubernetes已经支持多种认证模式。认证器是一种机制,可以决定用户是否被允许通过Kubernetes API对集群做出一些修改。这会影响到kubectl、系统组件、还有运行在集群中和操纵集群状态的某些应用,如Jenkins的Kubernetes插件,或者是运行在集群中的Helm,它使用Kubernetes API在集群中部署应用。在可用的授权机制中,ABAC和RBAC都是Kubernetes集群的本地机制,都可以对访问策略进行配置。
  ABAC,基于属性的访问控制(Attribute Based Access Control),是一种很强大的概念。然而在Kubernetes的实现中,ABAC难以管理和理解。要改变授权策略,要求有集群master节点的ssh和根文件系统的访问权限。而且,只有在集群的API server重启后,权限变更才会生效。
  RBAC权限策略通过kubectl或者直接使用Kubernetes API来配置。可以通过RBAC来授权用户,从而在不给予用户集群master的ssh访问权限情况下,可以进行资源管理。RBAC策略能够轻松地映射资源和Kubernetes API中使用的操作。
  基于Kubernetes社区的开发力度,未来RBAC应该会取代ABAC。

基本概念

要理解RBAC,这里有一些基本理念。最核心的,RBAC是一种授权用户对Kubernetes API资源进行不同粒度访问的方式。
  enter description here
  用户和资源的连接是使用RBAC的下面两个对象来定义的。

角色(Roles)

角色是一系列权限的集合。比如,角色可以被定义为包含pod的读权限和列表(list)权限。ClusterRole(集群角色)和角色很像,但它可以被使用在集群中的任何位置。

角色绑定(Role Bindings)

角色绑定将角色映射到一个用户或者一组用户,把角色在命名空间中对资源的权限授权给这些用户。ClusterRoleBinding(集群角色绑定)允许授权用户ClusterRole的在整个集群中的授权访问。
  enter description here
  此外,还需要考虑集群角色和集群角色绑定。集群角色和集群角色绑定功能就像角色和角色绑定一样,只是有着更宽的使用范围。集群用户、集群用户绑定和用户、用户绑定之间的准确区别,详见Kubernetes doc

Kubernetes中的RBAC

RBAC现在已经被深度集成在Kubernetes中,并使用它授权给系统组件使用。系统角色system为前缀,因此可以轻易地识别出来。

$  kubectl get clusterroles --namespace=kube-system
NAME                    KIND
admin                   ClusterRole.v1beta1.rbac.authorization.k8s.io
cluster-admin           ClusterRole.v1beta1.rbac.authorization.k8s.io
edit                    ClusterRole.v1beta1.rbac.authorization.k8s.io
kubelet-api-admin       ClusterRole.v1beta1.rbac.authorization.k8s.io
system:auth-delegator   ClusterRole.v1beta1.rbac.authorization.k8s.io
system:basic-user       ClusterRole.v1beta1.rbac.authorization.k8s.io
system:controller:attachdetach-controller ClusterRole.v1beta1.rbac.authorization.k8s.io
system:controller:certificate-controller ClusterRole.v1beta1.rbac.authorization.k8s.io
...

扩充了RBAC的系统角色,仅使用RBAC就能管理运行Kubernetes集群所需的权限。
  在从ABAC到RBAC的权限迁移期间,一些在ABAC授权的deployment中默认使能的权限,在RBAC中被识别为是没有必要的,权限会在RBAC中被降级。可能会影响到服务帐户的权限的负载。在ABAC配置下,使用pod映射token来授权API server的pod请求有着很高的权限。一个具体的例子,当使能ABAC时,下面的curl命令会返回一个JSON格式的正确结果,而只使能RBAC时则会返一个错误。

$ kubectl run nginx --image=nginx:latest
$ kubectl exec -it $(kubectl get pods -o jsonpath='{.items[0].metadata.name}') bash
$ apt-get update && apt-get install -y curl
$ curl -ik \
  -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
  https://kubernetes/api/v1/namespaces/default/pods

在从ABAC迁移为RBAC的过程中,Kubernetes集群中运行的任何应用,只要和Kubernetes API交互,都可能被权限迁移所影响。
  为了使ABAC到RBAC的迁移尽量平滑,你可以在创建Kubernetes v1.6集群时,同时使能ABAC和RBAC授权。当同时使能ABAC和RBAC时,如果任一授权策略授以访问权限,则都被会授予资源权限。然而,然而在这种配置下,被赋予了太宽容的权限,在完全的RBAC环境下可能无法工作。
  现在,RBAC完全足够,ABAC的支持未来应该考虑被弃用。在可预见的未来,它应该还会保存在Kubernetes中,不过开发主要集中在RBAC上了。
  在Google Cloud Next会议上,有两篇涉及到Kubernetes v1.6中BRAC相关改变的演讲,可通过这里这里来查看相关部分。如果要查看更多关于Kubernetes v1.6使用RBAC的详细信息,阅读完整的RBAC文档

【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
【云原生之kubernetes】在k8s集群中安装和配置Metrics Server( V1.30.3)
jks212454的博客
08-07 401
【云原生之kubernetes】在k8s集群中安装和配置Metrics Server( V1.30.3)
1.6微服务--Kubernetes简介
姜皓的博客
08-07 949
Kubernetes简介 一、Kubernetes简介 Kubernetes 是一个容器集群管理系统,为容器化的应用程序提供部署运行、维护、扩展、资源调度、服务发现等功能。 Kubernetes 结合了社区的最佳创意和实践, 旨在帮助开发人员将容器打包、动态编排, 同时帮助各大公司向微服务方向进行技术演进。 它具有以下特点: 1)Planet Scale (大容量) 使用Kubemetes...
四大访问控制模型 RBACABAC、PBAC、TBAC 的深度对比与应用分析
csdn_tom_168的博客
06-10 835
摘要:本文对比分析了RBACABAC、PBAC和TBAC四大访问控制模型的核心原理与技术特性。RBAC基于角色分配权限,适合稳定架构;ABAC通过属性动态决策,支持细粒度控制;PBAC以策略驱动,可整合多种模型;TBAC围绕任务生命周期管理权限。从灵活性看,ABAC最高但实现复杂;RBAC简单但动态性不足。应用场景方面,RBAC适合企业系统,ABAC适用于云服务,PBAC多见于金融合规,TBAC则适配工作流系统。建议根据组织结构稳定性、细粒度需求等维度选型,并指出ABAC标准化、PBAC智能化是未来趋势。
容器编排之Kubernetes1.6.1安装与配置
Kubernetes中文社区
05-08 1796
在经历了几年混乱的职业生涯之后,初步把未来延伸领域定位在容器云方向。区块链系列我还会继续写下去,且可能只会关注Hyperledger。 云计算是最近几年来火热的技术领域,不同于其他,他没有固定的行业领域限制,他只是基础设施。任何基建于计算机上的服务,在达到一定规模后,都可应用云计算解决方案使硬件资源高效利用,统一开发运维,提高服务可靠性,降低企业支出等等。近两年火热的大数据、人工智能等都离不
kubernetes源码分析之RBAC
柳清风的专栏
05-05 2170
在介绍源码之前还是解释一下这个RBAC吧,RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。 在kubernetes1.6以后正式引入RBAC这个东西,其实这个
Kubernetes1.6安装指南 (二进制文件方式)
码农崛起
07-23 370
https://blog.csdn.net/chenhaifeng2016/article/details/71374876 Kubernetes的总体架构 master 10.30.30.104 centos 7.3 64位 Master node1 10.30.30.126 centos 7.3 64位 ...
Kubernetes RBAC with Openssl Authentication.pdf
08-22
Kubernetes v1.6版本开始,默认启用了RBAC策略。到了1.8版本,RBAC模式已经稳定,并且获得了“rbac.authorization.k8s.io/v1 API”的支持。 使用RBAC授权可以将Kubernetes集群共享给多个项目,每个项目可以在集群...
【k8s系列】Kubernetes v1.20.6集群安装
qq_43470282的博客
08-10 3282
iptables 模式在 v1.1 中就添加支持了,从 v1.2 版本开始 iptables 就是 kube-proxy 默认的操作模式,ipvs 和 iptables 都是基于netfilter的,但是ipvs采用的是hash表,因此当service数量达到一定规模时,hash查表的速度优势就会显现出来,从而提高service的服务性能。Swap是交换分区,如果机器内存不够,会使用swap分区,但是swap分区的性能较低,k8s设计的时候为了能提升性能,默认是不允许使用姜欢分区的。
二进制包20分钟快速安装部署 Kubernetes v1.14.0 集群
晨曦蜗牛
03-31 4597
二进制包20分钟快速部署 Kubernetes v1.14.0 集群 一 环境 操作系统 Docker版本 Kubernetes版本 Etcd版本 Flannel版本 CentOS Linux release 7.6.1810 Docker version 18.09.4 v1.14.0 Version: 3.3.12 v0.11.0 二 架构 主机名 IP 角色 部署...
docker-rbac:这是一个讨论Docker基于角色的访问控制的存储库
05-19
Docker访问控制 目前,有权访问Docker守护程序的任何人都可以执行Docker可以执行的所有操作。 目前,通过确保只能由root用户访问Docker来解决此问题,因此使用Docker的人员已经具有对系统的完全管理员访问权限。 这是一个非常有限的权限模型,我们希望将其替换为更精细的系统。 先决条件:身份验证 本文档将特别侧重于访问控制的“授权”方面。 在docker / docker#13697中已经讨论了Docker的身份验证,重点是通过GSSAPI提供Kerberos身份验证。 本文档假设某些身份验证解决方案已经到位,可以用来识别在Docker守护程序上执行特定操作的用户。 授权:一般情况 当前存在一个在Docker守护程序docker / docker#14674中讨论授权的问题。 在本期中,建议使用Docker插件框架来提供模块化身份验证插件。 该插件将提供有关到Docker
SSH实现基于RBAC的权限管理系统
06-13
SSH实现基于RBAC的权限管理系统
基于RBAC和SSH的权限管理系统的设计和实现
09-14
基于角色的访问控制模型RBAC能够很好地解决复杂的权限管理问题。流行的J2EE框架SSH为RBAC提供灵活的实现平台。介绍RBAC模型的基本状况,并作适当改进。在具体的项目中,在SSH框架基础上,使用Spring的IoC容器存储对象,使用过滤器拦截控制访问,具体实现RBAC模型,从而构建良好的权限管理系统,并取得很好的效果。
rbac:一个实现基于角色的访问控制的认证和授权库
06-03
基于角色的访问控制库 这是一个实现基于角色的访问控制的身份验证和授权库,它将被插入到 Spring Security Framework 中。 特征 基于角色的授权。 可以使用 SPEL 表达式进行配置。 本地身份验证提供程序。 密码使用 HMAC-SHA256 编码。 可以使用 w/wo 1)。 Active Directory 身份验证提供程序。 只能与 4) 一起使用 复合身份验证提供程序。 在单个应用程序中支持混合身份验证机制。 可以使用 w/wo 1)。 Restful 身份验证过滤器。 支持通过 JSON 格式的 REST 请求进行身份验证。 可以使用 w/wo 首先。 用法 将 rbac-lib 添加到您的 Maven 依赖项中 <dependency> <groupId>org.binyu</groupId> <artifactId>rbac-lib</arti
Kubernetes 1.6 官方发布:支持多用户、多工作负载
karamos的专栏
03-30 466
今天,我们宣布 Kubernetes1.6正式发布。在这次版本中,社区的重点落在集群运行规模和集群运行自动化上,可以在帮助实现集群上给多个用户部署多项工作的目标。Kubernetes 1.6版本目前集群上支持5000个节点。在我们的努力下,Dynamic Storage Provisioning 处于稳定版本。Role-based access control(RBAC)、kubefed、kube...
kubernetes 1.6发布,新特性一览
曾庆国的博客
03-29 771
主要更新和发布的主题 Kubernetes now supports up to 5,000 nodes via etcd v3, which is enabled by default. Kubernetes支持5000+节点通过etcd v3,并默认使用v3 Role-based access control (RBAC) has graduated to beta, and defines
kubernetes1.6 安装node(三)
柳清风的专栏
05-03 4258
以前的计算节点叫做minion节点,现在都改成node节点了,至于下载二进制上一篇已经介绍了,网络方案如果选用flannel的话,我之前的blog也介绍了。1. 角色绑定在master上面做角色绑定 kubectl create clusterrolebinding kubelet-bootstrap --clusterrole=system:node-bootstrapper --user=kub
Kubernetes-一文详解ServiceAccount与RBAC权限控制
Dragon的博客
10-01 2736
目录 一,服务帐号 1.ServiceAccount介绍 2.Secret与SA(ServiceAccount)的关系 3.默认的服务帐户 4.使用自定义SA 5.ServiceAccount中添加图片拉秘诀 二,RBAC 1.RBAC介绍 2,角色和集群角色 3,角色绑定和集群角色绑定 实践:创建一个用户只能管理称为vfan的NameSpace 一,服务帐号 1.ServiceAccount介绍 首先,Kubernetes中账户区分为:用户帐户(用户帐户)和服务帐户(服务帐
--- kind: Namespace apiVersion: v1 metadata: name: kube-flannel labels: k8s-app: flannel pod-security.kubernetes.io/enforce: privileged --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: labels: k8s-app: flannel name: flannel rules: - apiGroups: - "" resources: - pods verbs: - get - apiGroups: - "" resources: - nodes verbs: - get - list - watch - apiGroups: - "" resources: - nodes/status verbs: - patch --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: labels: k8s-app: flannel name: flannel roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: flannel subjects: - kind: ServiceAccount name: flannel namespace: kube-flannel --- apiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: flannel name: flannel namespace: kube-flannel --- kind: ConfigMap apiVersion: v1 metadata: name: kube-flannel-cfg namespace: kube-flannel labels: tier: node k8s-app: flannel app: flannel data: cni-conf.json: | { "name": "cbr0", "cniVersion": "0.3.1", "plugins": [ { "type": "flannel", "delegate": { "hairpinMode": true, "isDefaultGateway": true } }, { "type": "portmap", "capabilities": { "portMappings": true } } ] } net-conf.json: | { "Network": "10.244.0.0/16", "EnableNFTables": false, "Backend": { "Type": "vxlan" } } --- apiVersion: apps/v1 kind: DaemonSet metadata: name: kube-flannel-ds namespace: kube-flannel labels: tier: node app: flannel k8s-app: flannel spec: selector: matchLabels: app: flannel template: metadata: labels: tier: node app: flannel spec: affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: kubernetes.io/os operator: In values: - linux hostNetwork: true priorityClassName: system-node-critical tolerations: - operator: Exists effect: NoSchedule serviceAccountName: flannel initContainers: - name: install-cni-plugin image: ghcr.io/flannel-io/flannel-cni-plugin:v1.7.1-flannel1 command: - cp args: - -f - /flannel - /opt/cni/bin/flannel volumeMounts: - name: cni-plugin mountPath: /opt/cni/bin - name: install-cni image: ghcr.io/flannel-io/flannel:v0.27.0 command: - cp args: - -f - /etc/kube-flannel/cni-conf.json - /etc/cni/net.d/10-flannel.conflist volumeMounts: - name: cni mountPath: /etc/cni/net.d - name: flannel-cfg mountPath: /etc/kube-flannel/ containers: - name: kube-flannel image: ghcr.io/flannel-io/flannel:v0.27.0 command: - /opt/bin/flanneld args: - --ip-masq - --kube-subnet-mgr resources: requests: cpu: "100m" memory: "50Mi" securityContext: privileged: false capabilities: add: ["NET_ADMIN", "NET_RAW"] env: - name: POD_NAME valueFrom: fieldRef: fieldPath: metadata.name - name: POD_NAMESPACE valueFrom: fieldRef: fieldPath: metadata.namespace - name: EVENT_QUEUE_DEPTH value: "5000" - name: CONT_WHEN_CACHE_NOT_READY value: "false" volumeMounts: - name: run mountPath: /run/flannel - name: flannel-cfg mountPath: /etc/kube-flannel/ - name: xtables-lock mountPath: /run/xtables.lock volumes: - name: run hostPath: path: /run/flannel - name: cni-plugin hostPath: path: /opt/cni/bin - name: cni hostPath: path: /etc/cni/net.d - name: flannel-cfg configMap: name: kube-flannel-cfg - name: xtables-lock hostPath: path: /run/xtables.lock type: FileOrCreate
最新发布
07-01
以下是kube-flannel.yml的内容(版本v0.22.0):</think>### Kubernetes 部署 Flannel CNI 插件指南 Flannel 是 Kubernetes 最常用的 CNI 插件之一,通过 `kube-flannel-ds` DaemonSet 在每个节点部署网络代理。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值