• 欢迎来到本博客,希望可以y一起学习与分享

k8s之RBAC权限管理

笔记 benz 5个月前 (05-03) 8次浏览 0个评论 扫描二维码
文章目录[隐藏]

了解K8S的BRAC

Role-based access control(RBAC)基于企业内个人用户属于角色来访问计算和网络的常规访问控制方法。
简单理解为权限与角色关联,用户通过成为角色的成员来得到角色的权限。
K8S的RBAC使用rbac.authorization.k8s.io/v1 API组驱动认证决策,准许管理员通过API动态配置策略。
为了启用RBAC,需要在apiserver启动参数添加--authorization-mode=RBAC
Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权。
在Kubernetes中,授权有6种模式
ABAC(基于属性的访问控制)、
RBAC(基于角色的访问控制)、
Webhook(自定义http回调方法)、
Node(默认node和apiserver就是采用这种模式)、
AlwaysDeny(一直拒绝)和 AlwaysAllow(一直允许)。
在RABC API中,通过如下的步骤进行授权
1)定义角色:在定义角色时会指定此角色对于资源的访问控制的规则;
2)绑定角色:将主体与角色进行绑定,对用户进行访问授权。
Role与ClusterRole
一个角色包含了一套表示一组权限的规则。 权限以纯粹的累加形式累积(没有”否定”的规则)。
Role:角色可以由命名空间内的Role对象定义,一个Role对象只能用于授予对某一单一命名空间中资源的访问权限
ClusterRole:整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。

API概览

Role和ClusterRole

rule下verbs有

rule下资源有:

rule下apiGroups有:

一个Role只能授权访问单个namespace:

一个ClusterRole能够授予和Role一样的权限,但是它是集群范围内的。

RoleBinding和ClusterROleBinding

RoleBinding将role中定义的权限分配给用户和用户组。RoleBinding包含主题(users,groups,或service accounts)和授予角色的引用。对于namespace内的授权使用RoleBinding,集群范围内使用ClusterRoleBinding。

示例

如果集群中有多个namespace分配给不同的管理员,但是他们的权限是一样的,那么这样可以先定义一个ClusterRole,然后通过RoleBinding将不同namespace的管理员做绑定,这样可以解决多次定义Role的问题。

参考

K8S RBAC使用
k8s之RBAC详解(连载)


文章 k8s之RBAC权限管理 转载需要注明出处
喜欢 (0)

您必须 登录 才能发表评论!