本文导读
- 一、集群安全机制概述
- 1.认证
- 2. 鉴权(授权)
- 3. 准入控制
- 二、RBAC 概述
- 三、RBAC 角色绑定操作演示
一、集群安全机制概述
要知道,访问 Kubernetes 集群必需要进行三个步骤,即:
- 认证
- 鉴权(授权)
- 准入控制
而这个访问过程均需经过 apiserver,apiserver 主要作用就是统一协调。除此之外在访问过程中还需要证书、token、用户名/密码等等“手续”。
1.认证
通常的客户端身份认证有这么几种方式:
- HTTPS 证书认证:基于 CA 证书的认证。
- HTTP Token 认证:通过 token 识别用户。
- HTTP 基本认证:通过用户名+密码进行认证,安全性较低。
此外,在认证过程中还有一个概念为 传输安全,意思就是对外不暴露 8080 端口,只能在内部访问。对外则统一使用端口 6443。
2. 鉴权(授权)
目前鉴权是基于 RBAC 进行操作的。
RBAC:基于角色的访问控制。
3. 准入控制
这其实就是一个记录准入控制器的列表,如果该列表中包含你要请求的内容,则通过,反之则拒绝。
二、RBAC 概述
RBAC(基于角色的访问控制)。在 Kubernetes 集群的访问过程中,允许经过控制之后访问的某些资源,当为某一个角色设置访问内容后,将用户和角色进行绑定,那么角色可以访问的内容用户也可以访问。
不仅仅是在 k8s中,其实在很多领域都在用 RBAC 机制。
三、RBAC 角色绑定操作演示
第一步:创建一个命名空间;
#创建命名空间
kubectl create ns xiaoma第二步:在新建的命名空间下创建一个 Pod;
#新建Pod
kubectl run nginx --image=nginx -n xiaoma第三步:创建角色,vim 一个 yaml 文件 rbac-xiaoma.yaml,并在其中设定角色的相关属性;
apiVersion: rbac.authorization.k8s.io/v1
kind: xiaoma
metadata:
namespace: xiaoma
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list"]代码含义:创建角色 xiaoma,该角色对 pod 拥有 get、watch、list 权限。
第四步:执行文件,角色创建成功之后也可以查看角色
#执行文件,即创建角色
kubectl apply -f rbac-xiaoma.yaml
#查看角色
kubectl get xiaoma -n xiaoma第五步:创建角色绑定,vim 一个 yaml 文件 rbac-xiaomabinding.yaml;
apiVersion: rbac.authorization.k8s.io/v1
kind: xiaomabinding
metadata:
namespace: xiaomatest
name: read-pods
subjects:
- kind: user
name: majinjian
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: xiaoma
name: pod-reader
apiGroup: rbac.authorization.k8s.io代码含义:将用户 majinjian 与角色 xiaoma 进行绑定。
第六步:执行文件并查看角色绑定用户;
#执行绑定文件
kubectl apply -f rbac-xiaomabinding.yaml
#查看绑定情况
kubectl get xiaoma,xiaomabinding -n xiaomatest
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
