kubernetes基于角色授权-创新互联-成都快上网建站

kubernetes基于角色授权-创新互联

网上很少有地方涉及到在角色授权时,如何对User Group授权。我们都知道在做角色绑定的时候,会有kind: User,kind: Group,但是实际上,Kubernetes并没有提供User、Group资源创建接口,那这两个怎么使用呢?下面以一个实例来说明一下

为勃利等地区用户提供了全套网页设计制作服务,及勃利网站建设行业解决方案。主营业务为成都网站制作、网站建设、勃利网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

前提条件:kube-apiserver必须是运行在安全端口模式下,这里基于CA根证书签名的双向数字证书认证方式。

1、先创建Role

role-demo.yaml 内容如下:

apiVersion: rbac.authorization.k8s.io/v1

kind: Role

metadata:

 name: pods-reader

 namespace: default

rules:

- apiGroups:

 - ""

 resources:

 - pods

 verbs:

 - get

 - list

 - watch

2、绑定角色,将权限授予到真正角色上

编辑rolebinding-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: RoleBinding

metadata:

  creationTimestamp: null

  name: kubelet-read-pods

roleRef:

  apiGroup: rbac.authorization.k8s.io

  kind: Role

  name: pods-reader

subjects:

- apiGroup: rbac.authorization.k8s.io

  kind: Group

  name: app1

这里将赋予组app1只能查看namespace为default的pod权限。Kind也可以为user。

3、创建用户和组

现在就可以创建用户和组,CA的方式通过openssl就可以做到

3.1创建用户jbeda,并同时属于组app1、app2

openssl  genrsa -out jbeda.key 2048

openssl req -new -key jbeda.key -out jbeda.csr -subj "/CN=jbeda/O=app1/O=app2"

openssl x509 -req -in jbeda.csr -CA  ca.crt -CAkey ca.key -CAcreateserial -out jbeda.crt -days 365

将 jbeda.key、jbeda.crt 复制到/etc/kubernetes/ssl/目录下

l jbeda/O=app1/O=app2 这个代表创建了用户jbeda,且该用户属于组app1、app2

l ca.crt ca.key是根证书,这个是为kube-apiserver创建的,所有的客户端都是利用它签名的。这里不重复它的创建过程。

3.2测试权限

Ø 配置使用的调用接口使用的角色

这里使用kubectl,编译~/.kube/config

apiVersion: v1

kind: Config

clusters:

 -  cluster:

     server: https://10.8.8.27:6443

     certificate-authority: /etc/kubernetes/ssl/ca.crt

    name: local

users:

 -  name: jbeda

   user:

     client-certificate : /etc/kubernetes/ssl/jbeda.crt

     client-key: /etc/kubernetes/ssl/jbeda.key

contexts:

 -  context:

      cluster: local

      user: jbeda

    name: local

current-context: local

Ø 查看pod

kubernetes基于角色授权

查看kubectl当前使用的config

kubernetes基于角色授权

可以看到只能查看namespace为default下的pod信息

RBAC还可以用service account的方式认证,网上有太多资料,这里不多做介绍。

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


本文名称:kubernetes基于角色授权-创新互联
文章位置:http://kswjz.com/article/pjego.html
扫二维码与项目经理沟通

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流