12点前睡觉hhh
12点前睡觉hhh

Kubernetes-RBAC

RBAC

在互联网级别的大规模集群中,Kubernetes内置的编排对象,很难做到满足所有需求。所以,很多实际的容器化工作,都会要求你设计一个自己的编排对象,事先自己的控制器模式。在Kubernetes中,我们可以通过CRD机制来完成这种工作,但是,在Kubernetes里新增和操作API对象,就必须了解RBAC。Kubernetes中所有的API对象都是保存在etcd中,对这些API对象的操作都是通过访问api-server实现的。你需要API Server来帮助你做授权操作。

在Kubernetes中,负责完成授权工作的机制,就是RBAC:基于角色的访问控制。

RBAC中的三个基本概念:

  • Role:角色,就是一组规则,定义了一组对Kubernetes API对象的操作权限
  • Subject:被作用者,既可以是人,也可以是机器,也可以是你在Kubernetes中定义的用户
  • RoleBinding:定义了“被作用者”和“角色”的绑定关系

Role

Role本身就是一个Kubernetes的API对象,定义如下:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 namespace: mynamespace
 name: example-role
rules:
- apiGroups: [""]
  resources: ["pod"]
  verbs: ["get","watch","list"]

这个Role对象指定了它能产生作用的Namespace是mynamespace

rules字段就是它所定义的规则,上面的例子中,就是允许被作用者对mynamespace下的Pod对象,进行Get、WATCH和LIST操作

RoleBinding

RoleBinding本身也是一个Kubernetes的API对象,定义如下:

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: example-rolebinding
 namespace: mynamespace
subjects:
- kind: User
  name: example-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
 kind: Role
 name: example-role
 apiGroup: rbac.authorization.k8s.io

RoleBinding对象可以直接通过名字,来引用前面定义的Role对象,从而定义了被作用者和角色之间的关系

RoleBinding和Role对象都是Namespaced对象,它们对权限的限制规则仅在它们自己的Namespace内有效,roleRef也只能引用当前Namespace里的Role对象

ClusterRole和ClusterRoleBinding

对于非Namespaced对象(比如Node)或者一个Role想作用于所有的Namespace的时候,我们可以使用ClusterRole和ClusterRoleBinding做授权。这两个API对象的用法跟Role和RoleBinding完全相同,只不过没有了namespace字段

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: example-cluster
rule:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get","watch","list"]
  
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: cluster-rolebinding
subjects:
- kind: User
  name: example-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
 kind: ClusterRole
 name: example-clusterrole
 apiGroup: rbac.authorization.k8s.io

上面的例子中ClusterRole和ClusterRoleBinding的组合,意味着名叫example-role的用户,拥有对所有Namespace的Pod进行get、watch、list操作的权限。

如果在Role或者ClusterRole中,如果要赋予用户example-user所有权限,那可以给它指定一个verbs字段的全集

verbs: ["get","watch","list","update","create","patch","delete"]

ServiceAccount

在大多数时候,我们都不太使用“用户”这个功能,而是使用Kubernetes里的“内置用户”

首先,我们定义一个ServiceAccount。

apiVersion: v1
kind: ServiceAccount
metadata:
 namespace: mynamespace
 name: example-sa

然后我们通过Role和RoleBinding的YAML文件,为这个ServiceAccount分配权限:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: example-role
 namespace: mynamespace
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get","watch","list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: example-rolebinding
 namespace: mynamespace
subjects:
- kind: ServiceAccount
  name: example-sa
  namespace: mynamespace
roleRef:
 kind: Role
 name: example-role
 apiGroup: rbac.authorization.k8s.io

操作演示

我们先创建上面三个对象

[root@host1 rbac]# kubectl create namespace mynamespace
namespace/mynamespace created
[root@host1 rbac]# kubectl get namespace
NAME          STATUS   AGE
default       Active   2d19h
kube-public   Active   2d19h
kube-system   Active   2d19h
mynamespace   Active   5s
rook-ceph     Active   42h
[root@host1 rbac]# kubectl create -f svc-account.yaml 
serviceaccount/example-sa created
[root@host1 rbac]# kubectl create -f role-binding.yaml 
role.rbac.authorization.k8s.io/example-role created
rolebinding.rbac.authorization.k8s.io/example-rolebinding created

然后,我们查看一下这个ServiceAccount的详细信息

[root@host1 rbac]# kubectl get sa -n mynamespace -o yaml
apiVersion: v1
items:
- apiVersion: v1
  kind: ServiceAccount
  metadata:
    creationTimestamp: "2019-10-25T02:15:24Z"
    name: default
    namespace: mynamespace
    resourceVersion: "474819"
    selfLink: /api/v1/namespaces/mynamespace/serviceaccounts/default
    uid: 4da5a943-f6cd-11e9-928f-000c296c79f3
  secrets:
  - name: default-token-ncwxl
- apiVersion: v1
  kind: ServiceAccount
  metadata:
    creationTimestamp: "2019-10-25T02:15:46Z"
    name: example-sa
    namespace: mynamespace
    resourceVersion: "474876"
    selfLink: /api/v1/namespaces/mynamespace/serviceaccounts/example-sa
    uid: 5aeef1d2-f6cd-11e9-928f-000c296c79f3
  secrets:
  - name: example-sa-token-vg2sk
kind: List
metadata:
  resourceVersion: ""
  selfLink: ""

Kubernetes会为每一个ServiceAccount自动创建并分配一个Secret对象,即Secrets字段

这个Secret,就是这个ServiceAccount用来和API Server进行交互的授权文件,我们称它为:ServiceAccount Token.

这时候,用户的Pod,就可以声明使用这个ServiceAccount了,比如下面这个例子:

apiVersion: v1
kind: Pod
metadata:
 namespace: mynamespace
 name: sa-token-test
spec:
 containers:
 - name: nginx
   image: nginx:1.7.9
serviceAcccountName: example-sa

在Pod中,我们指定了ServiceAccountName为example-sa

这个Pod运行起来之后,该ServiceAccount的token就会被自动挂载到容器的/var/run/secrets/kubernetes.io/serviceaccount目录下。

如果一个Pod没有声明ServiceAccountName,Kubernetes会自动在它的Namespace下创建一个名叫default的默认ServiceAccount,然后分配给这个Pod。这个默认的ServiceAccount没有关联任何Role。也就是说,此时它有访问API Server的绝大多数权限。

Kubernetes中的用户组

除了前面使用的“用户”,Kubernetes还有用户组的概念,也就是一组用户的意思。如果你为Kubernetes配置了外部认证服务的话,这个用户组的概念由外部认证服务提供。

但是对于Kubernetes内置用户ServiceAccount来说,上述用户组也同样使用。

实际上,一个ServiceAccount,在Kubernetes里对应的“用户”名字是:

system:serviceaccount:

而它对应的内置“用户组”的名字就是:

system:serviceaccounts:

比如,我们可以在RoleBinding定义如下的subjects:

subjects:
- kind: Group
  name: system:serviceaccounts:mynamespace
  apiGroup: rbac.authorization.k8s.io

这就意味着这个Role的权限规则,作用于mynamespace里的所有ServiceAccount。

再比如下面的例子

subjects:
- kind: Group
  name: system:serviceaccounts
  apiGroup: rbac.authorization.k8s.io

这意味着这个Role的权限规则,作用于整个系统里的所有ServiceAccount

Kubernetes提供了四个预先定义好的ClusterRole来供用户直接使用:

  1. cluster-admin(Kubernetes中的最高权限)
  2. admin
  3. edit
  4. view

你可能感兴趣的:(Kubernetes-RBAC)

  • Kubernetes-RBAC 12点前睡觉hhh
    RBAC在互联网级别的大规模集群中,Kubernetes内置的编排对象,很难做到满足所有需求。所以,很多实际的容器化工作,都会要求你设计一个自己的编排对象,事先自己的控制器模式。在Kubernetes中,我们可以通过CRD机制来完成这种工作,但是,在Kubernetes里新增和操作API对象,就必须了解RBAC。Kubernetes中所有的API对象都是保存在etcd中,对这些API对象的操作都是
  • jdk tomcat 环境变量配置 Array_06 javajdktomcat
    Win7 下如何配置java环境变量 1。准备jdk包,win7系统,tomcat安装包(均上网下载即可) 2。进行对jdk的安装,尽量为默认路径(但要记住啊!!以防以后配置用。。。) 3。分别配置高级环境变量。   电脑-->右击属性-->高级环境变量-->环境变量。 分别配置 : path    &nbs
  • Spring调SDK包报java.lang.NoSuchFieldError错误 bijian1013 javaspring
            在工作中调另一个系统的SDK包,出现如下java.lang.NoSuchFieldError错误。 org.springframework.web.util.NestedServletException: Handler processing failed; nested exception is java.l
  • LeetCode[位运算] - #136 数组中的单一数 Cwind java题解位运算LeetCodeAlgorithm
    原题链接:#136 Single Number 要求: 给定一个整型数组,其中除了一个元素之外,每个元素都出现两次。找出这个元素 注意:算法的时间复杂度应为O(n),最好不使用额外的内存空间 难度:中等 分析: 题目限定了线性的时间复杂度,同时不使用额外的空间,即要求只遍历数组一遍得出结果。由于异或运算 n XOR n = 0, n XOR 0 = n,故将数组中的每个元素进
  • qq登陆界面开发 15700786134 qq
    今天我们来开发一个qq登陆界面,首先写一个界面程序,一个界面首先是一个Frame对象,即是一个窗体。然后在这个窗体上放置其他组件。代码如下: public class First {         public void initul(){        jf=ne
  • Linux的程序包管理器RPM 被触发 linux
    在早期我们使用源代码的方式来安装软件时,都需要先把源程序代码编译成可执行的二进制安装程序,然后进行安装。这就意味着每次安装软件都需要经过预处理-->编译-->汇编-->链接-->生成安装文件--> 安装,这个复杂而艰辛的过程。为简化安装步骤,便于广大用户的安装部署程序,程序提供商就在特定的系统上面编译好相关程序的安装文件并进行打包,提供给大家下载,我们只需要根据自己的
  • socket通信遇到EOFException 肆无忌惮_ EOFException
    java.io.EOFException at java.io.ObjectInputStream$PeekInputStream.readFully(ObjectInputStream.java:2281) at java.io.ObjectInputStream$BlockDataInputStream.readShort(ObjectInputStream.java:
  • 基于spring的web项目定时操作 知了ing javaWeb
    废话不多说,直接上代码,很简单 配置一下项目启动就行 1,web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="h
  • 树形结构的数据库表Schema设计 矮蛋蛋 schema
    原文地址: http://blog.csdn.net/MONKEY_D_MENG/article/details/6647488     程序设计过程中,我们常常用树形结构来表征某些数据的关联关系,如企业上下级部门、栏目结构、商品分类等等,通常而言,这些树状结构需要借助于数据库完成持久化。然而目前的各种基于关系的数据库,都是以二维表的形式记录存储数据信息,
  • maven将jar包和源码一起打包到本地仓库 alleni123 maven
    http://stackoverflow.com/questions/4031987/how-to-upload-sources-to-local-maven-repository <project> ... <build> <plugins> <plugin> <groupI
  • java IO操作 与 File 获取文件或文件夹的大小,可读,等属性!!! 百合不是茶
    类 File File是指文件和目录路径名的抽象表示形式。 1,何为文件: 标准文件(txt doc mp3...) 目录文件(文件夹) 虚拟内存文件   2,File类中有可以创建文件的 createNewFile()方法,在创建新文件的时候需要try{} catch(){}因为可能会抛出异常;也有可以判断文件是否是一个标准文件的方法isFile();这些防抖都
  • Spring注入有继承关系的类(2) bijian1013 javaspring
    被注入类的父类有相应的属性,Spring可以直接注入相应的属性,如下所例:1.AClass类 package com.bijian.spring.test4; public class AClass { private String a; private String b; public String getA() { retu
  • 30岁转型期你能否成为成功人士 bijian1013 成长励志
            很多人由于年轻时走了弯路,到了30岁一事无成,这样的例子大有人在。但同样也有一些人,整个职业生涯都发展得很优秀,到了30岁已经成为职场的精英阶层。由于做猎头的原因,我们接触很多30岁左右的经理人,发现他们在职业发展道路上往往有很多致命的问题。在30岁之前,他们的职业生涯表现很优秀,但从30岁到40岁这一段,很多人
  • 【Velocity四】Velocity与Java互操作 bit1129 velocity
    Velocity出现的目的用于简化基于MVC的web应用开发,用于替代JSP标签技术,那么Velocity如何访问Java代码.本篇继续以Velocity三http://bit1129.iteye.com/blog/2106142中的例子为基础,      POJO    package com.tom.servlets; public
  • 【Hive十一】Hive数据倾斜优化 bit1129 hive
    什么是Hive数据倾斜问题   操作:join,group by,count distinct 现象:任务进度长时间维持在99%(或100%),查看任务监控页面,发现只有少量(1个或几个)reduce子任务未完成;查看未完成的子任务,可以看到本地读写数据量积累非常大,通常超过10GB可以认定为发生数据倾斜。 原因:key分布不均匀 倾斜度衡量:平均记录数超过50w且
  • 在nginx中集成lua脚本:添加自定义Http头,封IP等 ronin47 nginx lua csrf
    Lua是一个可以嵌入到Nginx配置文件中的动态脚本语言,从而可以在Nginx请求处理的任何阶段执行各种Lua代码。刚开始我们只是用Lua 把请求路由到后端服务器,但是它对我们架构的作用超出了我们的预期。下面就讲讲我们所做的工作。 强制搜索引擎只索引mixlr.com Google把子域名当作完全独立的网站,我们不希望爬虫抓取子域名的页面,降低我们的Page rank。 location /{
  • java-3.求子数组的最大和 bylijinnan java
    package beautyOfCoding; public class MaxSubArraySum { /** * 3.求子数组的最大和 题目描述: 输入一个整形数组,数组里有正数也有负数。 数组中连续的一个或多个整数组成一个子数组,每个子数组都有一个和。 求所有子数组的和的最大值。要求时间复杂度为O(n)。 例如输入的数组为1, -2, 3, 10, -4,
  • Netty源码学习-FileRegion bylijinnan javanetty
    今天看org.jboss.netty.example.http.file.HttpStaticFileServerHandler.java 可以直接往channel里面写入一个FileRegion对象,而不需要相应的encoder: //pipeline(没有诸如“FileRegionEncoder”的handler): public ChannelPipeline ge
  • 使用ZeroClipboard解决跨浏览器复制到剪贴板的问题 cngolon 跨浏览器复制到粘贴板Zero Clipboard
    Zero Clipboard的实现原理 Zero Clipboard 利用透明的Flash让其漂浮在复制按钮之上,这样其实点击的不是按钮而是 Flash ,这样将需要的内容传入Flash,再通过Flash的复制功能把传入的内容复制到剪贴板。 Zero Clipboard的安装方法 首先需要下载 Zero Clipboard的压缩包,解压后把文件夹中两个文件:ZeroClipboard.js
  • 单例模式 cuishikuan 单例模式
    第一种(懒汉,线程不安全): public class Singleton {   2     private static Singleton instance;   3     pri
  • spring+websocket的使用 dalan_123
    一、spring配置文件 <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"    xmlns:xsi="http://www.w3.or
  • 细节问题:ZEROFILL的用法范围。 dcj3sjt126com mysql
    1、zerofill把月份中的一位数字比如1,2,3等加前导0 mysql> CREATE TABLE t1 (year YEAR(4), month INT(2) UNSIGNED ZEROFILL,    -> day
  • Android开发10——Activity的跳转与传值 dcj3sjt126com Android开发
    Activity跳转与传值,主要是通过Intent类,Intent的作用是激活组件和附带数据。   一、Activity跳转 方法一Intent intent = new Intent(A.this, B.class); startActivity(intent)   方法二Intent intent = new Intent();intent.setCla
  • jdbc 得到表结构、主键 eksliang jdbc 得到表结构、主键
    转自博客:http://blog.csdn.net/ocean1010/article/details/7266042 假设有个con DatabaseMetaData dbmd = con.getMetaData(); rs = dbmd.getColumns(con.getCatalog(), schema, tableName, null); rs.getSt
  • Android 应用程序开关GPS gqdy365 android
    要在应用程序中操作GPS开关需要权限: <uses-permission android:name="android.permission.WRITE_SECURE_SETTINGS" /> 但在配置文件中添加此权限之后会报错,无法再eclipse里面正常编译,怎么办? 1、方法一:将项目放到Android源码中编译; 2、方法二:网上有人说cl
  • Windows上调试MapReduce zhiquanliu mapreduce
    1.下载hadoop2x-eclipse-plugin https://github.com/winghc/hadoop2x-eclipse-plugin.git 把 hadoop2.6.0-eclipse-plugin.jar 放到eclipse plugin 目录中。 2.下载 hadoop2.6_x64_.zip http://dl.iteye.com/topics/download/d2b
  • 如何看待一些知名博客推广软文的行为? justjavac 博客
    本文来自我在知乎上的一个回答:http://www.zhihu.com/question/23431810/answer/24588621 互联网上的两种典型心态: 当初求种像条狗,如今撸完嫌人丑 当初搜贴像条犬,如今读完嫌人软 你为啥感觉不舒服呢? 难道非得要作者把自己的劳动成果免费给你用,你才舒服? 就如同 Google 关闭了 Gooled Reader,那是
  • sql优化总结 macroli sql
    为了是自己对sql优化有更好的原则性,在这里做一下总结,个人原则如有不对请多多指教。谢谢!   要知道一个简单的sql语句执行效率,就要有查看方式,一遍更好的进行优化。   一、简单的统计语句执行时间 declare @d datetime ---定义一个datetime的变量set @d=getdate() ---获取查询语句开始前的时间select user_id
  • Linux Oracle中常遇到的一些问题及命令总结 超声波 oraclelinux
    1.linux更改主机名   (1)#hostname oracledb    临时修改主机名 (2) vi /etc/sysconfig/network   修改hostname (3) vi /etc/hosts        修改IP对应的主机名   2.linux重启oracle实例及监听的各种方法 (注意操作的顺序应该是先监听,后数据库实例) &nbs
  • hive函数大全及使用示例 superlxw1234 hadoophive函数
      具体说明及示例参 见附件文档。     文档目录:   目录 一、关系运算: 4 1. 等值比较: = 4 2. 不等值比较: <> 4 3. 小于比较: < 4 4. 小于等于比较: <= 4 5. 大于比较: > 5 6. 大于等于比较: >= 5 7. 空值判断: IS NULL 5
  • Spring 4.2新特性-使用@Order调整配置类加载顺序 wiselyman spring 4
    4.1 @Order Spring 4.2 利用@Order控制配置类的加载顺序 4.2 演示 两个演示bean package com.wisely.spring4_2.order; public class Demo1Service { } package com.wisely.spring4_2.order; public class
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他