

HAOJX

kubernetes RBAC

HAOJX

kubernetes RBAC

kubernetes RBAC

字数统计: 897阅读时长: 4 min

 2019/09/02   Share

• 
• 
• 
• 
• 

RBAC: Role Based Access Control

Role Based Access Control is comprised of four layers:

1. ClusterRole - permissions assigned to a role that apply to an entire cluster
2. ClusterRoleBinding - binding a ClusterRole to a specific account
3. Role - permissions assigned to a role that apply to a specific namespace
4. RoleBinding - binding a Role to a specific account

In order for RBAC to be applied to an nginx-ingress-controller, that controller should be assigned to a ServiceAccount. That ServiceAccount should be bound to the Roles and ClusterRoles defined for the nginx-ingress-controller.

资源访问

object URL

• /apis/<GROUP>/<VERSION>/namespace/<NAMESPACE_NAME>/<KIND>[/OBJECT_ID]

HTTP requsets verb

• get , post , put , delete

API requetes verb

• get ,list , create , update , patch , watch , proxy , redirect , delete deletecollection

Role

• operations
• objects

角色的访问控制, 要定义以上2个 即: 有什么权限 , 要访问什么资源 默认都是拒绝的 , 所以, 我们在定义权限的时候, 定义的内容是允许权限 , 没有明确定义出来的都是拒绝

Rolebinding

• user account OR serviceaccount
• role

角色的绑定是要先有一个角色 , 之后把这个user account OR serviceaccount 绑定在Role 上 , 而这个

Role是之前就定义好的 , 上面规定了这个角色有哪些权限 , 这样这个账号通过角色的绑定间接获得了权限

注意: 同时Rolebinding 是基于某个名称空间的 , Role的权限只是基于某个名称空间的

示例

---

创建一个role

kubectl create role pods-reader --verb=get,list,watch --resource=pods

也可以创建出了定义role的模板文件, 用于以后的定义

kubectl create role pods-reader --verb=get,list,watch --resource=pods --dry-run -o yaml > role-demo.yaml

vim role-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  creationTimestamp: null
  name: pods-reader
  namespace: default
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

查看刚刚创建的role

kubectl describe role pods-reader

创建一个rolebinding

kubectl create rolebinding test-read-pods --role=pods-reader --user=test

查看刚刚创建的rolebinding

kubectl describe rolebinding test-read-pods

切换用户查看效果

kubectl config use-context test@kubernetes

kubectl get pods   //发现这个用户可以查看当前用户空间的pod了
kubectl get pods -n kube-system  //查看kube-system空间的pod , 发现就不行 ,因为没有授权

删除一个rolebinding

kubectl delete rolebinding test-read-pods

创建一个ClusterRole

vim cluserrole-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-reader
rules:
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - get
  - list
  - watch

kubectl apply -f clusterrole-demo.yaml

创建一个clusterrolebinding

kubectl create clusterrolebinding test-read-all-pods --clusterrole=cluster-reader --user=test

##

用ClusterRoleBinding 来绑定一个ClusterRole

kubectl create clusterrolebinding test-read-all-pods --clusterrole=cluster-reader --user=test --dry-run -o yaml > clusterrolebinding-demo.yaml

vim clusterrolebinding-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: test-read-all-pods
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

kubectl apply -f clusterrolebinding-demo.yaml

查看刚刚创建的clusterrolebinding

kubectl describe clusterrolebinding test-read-all-pods

查看效果

kubectl config use-context test@kubernetes    //切换到test用户

kubectl get pods   //发现可以查看
kubectl get pods -n kube-system  //发现也可以查看,之前rolebinding是不可以查看的,现在可以了

查看集群中所有的clusterrole

kubectl get clusterrole

用RoleBinding 来绑定一个ClusterRole

先把刚刚创建好的ClusterRoleBinding 删除了

kubectl delete clusterrolebinding test-read-all-pods

创建一个rolebinding

kubectl create rolebinding test-read-pods --clusterrole=cluster-reader --user=test

当然也可以用文件来创建

kubectl create rolebinding test-read-pods --clusterrole=cluster-reader --user=test --dry-run -o yaml > rolebinding-clusterrole.yaml

vim rolebinding-clusterrole.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: test-read-pods
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-reader
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

kubectl apply -f rolebinding-clusterrole.yaml

查看效果

kubectl config use-context test@kubernetes  //切换到test用户

kubectl get pods   //发现可以查看
kubectl get pods -n ingress-nginx  
//发现不能查看 , 因为是rolebinding , 所以clusterrole的权限被降级了, rolebinding绑定的role只能在某个名称空间下拥有指定的权限 ,不能查看全部 ,虽然绑定的是clusterrole

原文作者：HAOJX

原文链接：haojianxun.github.io/2019/09/02/kubernetes RBAC/

发表日期：September 2nd 2019, 12:52:11 am

更新日期：September 28th 2018, 6:02:01 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  kubernetes ConfigMap
• Previous Post
  kubernetes HPA

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. Role
2. 2. Rolebinding

创建一个role

1. 1. 创建一个rolebinding
2. 2. 删除一个rolebinding

创建一个ClusterRole

用ClusterRoleBinding 来绑定一个ClusterRole

用RoleBinding 来绑定一个ClusterRole



• Archive
• Tag
• Cate

Total : 172

2022

• 08/11cue工作流入门介绍
• 06/27cue实战之快速构建k8s的nginx-ingress模板
• 06/14cue基本语法
• 01/08K8s leaderElection选主的写法套路

2021

• 12/30k8s中如何远程执行pod命令
• 12/01clientset中patch操作-策略性补丁之替换
• 12/01fake-client的用法
• 11/25CRD开发中监控deployment的变化,并且显示在控制台
• 11/25k8s reconcile中client如何使用patch
• 11/24k8s中如何发送http请求给api-server
• 11/17clientset中patch操作:jsonpatch
• 10/29event的用法, 来显示资源的事件情况
• 10/09dynamic-Client的使用方法

2020

• 10/15Operator介绍(1)
• 10/15Operator SDK开发简介
• 10/15Operator介绍(2)---以etcd-operator为例
• 01/05kubernetes 的负载均衡策略

2019

• 03/01kubernetes DaemonSet是如何保证pod只在一个节点上运行并且保证数量是1
• 03/01kubernetes DaemonSet是如何进行版本管理的
• 03/01kubernetes deployment在滚动升级的时候如何控制新旧pod比例
• 03/01kubernetes deployment如何控制每次更新操作只触发一个ReolicaSet以及设置保留历史个数版本
• 03/01kubernetes中如何让pod指定声明使用某个特定的initializer
• 01/02构建企业级云服务生态指南---CNCF云原生生态系统大览
• 01/02StorageClass---kubernetes自动创建pv的机制(Dynamic Provisioning)

2018

• 12/22kubernetes EFK实践
• 12/05kubelet是如何操作容器管理pod的
• 11/10kubernetes CRD下篇--编写自定义控制器
• 11/05kuberadm初始化的时候使用自定义镜像源方法
• 11/03kubernetes中api-server的地址改成公网ip和负载均衡
• 11/03kubernetes中的Projected Volume是什么
• 11/02Kubernetes 存储插件项目：Rook
• 11/01kubernetes中的"控制器"模型-以Deployment的实现为例
• 10/30Deployment 对应用进行版本控制的具体原理--以金丝雀发布（Canary Deployment）为例
• 10/15Nginx中HTTP请求的11个阶段之第七阶段--access阶段做权限控制,ip限制
• 10/14Nginx中HTTP请求的11个阶段之第十阶段---content阶段(root和alias指令)
• 10/14Nginx中HTTP请求的11个阶段之第九阶段--precontent阶段
• 10/13Nginx中HTTP请求的11个阶段之第十一个阶段---log阶段
• 10/12Nginx中HTTP框架提供的变量
• 10/10Nginx中HTTP请求的11个阶段之第一阶段----postread阶段(realip模块)
• 10/10Nginx中HTTP请求的11个阶段之第三阶段----find_config (location指令)
• 10/10Nginx中HTTP请求的11个阶段之第二阶段和第四阶段---rewrite阶段
• 10/10Nginx中HTTP请求的11个阶段之第六阶段---PREACCESS (limit_req ,limit_conn模块)
• 06/27kubeadm的配置文件路径和意义
• 05/11heapster部署
• 03/27kubeadm init可能出现的问题

2017

• 06/11docker自定义docker0网桥网络属性

2016

• 05/19docker镜像加速的方法
• 04/25Hello World

Invalid date

• Invalid datekubernetes认证和serviceaccount

Invalid date

• Invalid datekubernetes ConfigMap

Invalid date

• Invalid datekubernetes RBAC

Invalid date

• Invalid datekubernetes HPA

Invalid date

• Invalid datekubernetes StatefulSet

Invalid date

• Invalid datekubernetes dashboard部署

Invalid date

• Invalid datekubernetes service实现方法和类型

Invalid date

• Invalid datekubernetes ingress controller的配置和工作过程

Invalid date

• Invalid datekubernetes中docker连到私有仓库认证问题

2018

• 08/06kubernetes中的volumes挂载类型为emptydir,在宿主机上的路径在哪
• 08/01docker是如何创建容器的pid为1的进程的
• 07/22kubernetes中kubeconfig是什么?
• 07/06docker是如何做到资源限制的
• 06/22Helm
• 03/24docker exec 是怎么做到进入容器里的呢？
• 03/11docker如何修复容器中的 top 指令以及 /proc 文件系统中的信息呢

2017

• 07/07docker私有仓库--docker-distribution
• 06/22Docker 容器明文密码解决的2个方法
• 06/07dockerfile常用指令
• 06/07docker网络初探
• 05/11docker网络
• 05/09docker列出镜像用法
• 04/23docker相关命令--pull , commit ,save,load
• 04/07docker私有仓库--Harbor
• 03/17docker相关机构
• 03/11docker端口映射
• 02/15docker存储卷
• 02/11Docker Daemon 的作用是什么
• 02/11docker
• 01/24docker安装
• 01/21docker相关概念
• 01/04docker官方设置http_proxy教程

Invalid date

• Invalid datekubernetes中查看pod内部的dns解析

Invalid date

• Invalid datekubernetes中的认证---default-token

Invalid date

• Invalid datekubernetes中的认证流程和资源请求

Invalid date

• Invalid datekubernetes中网络插件地址

Invalid date

• Invalid datekubernetes中的账号

Invalid date

• Invalid datekubernetes中资源yaml模板创建

Invalid date

• Invalid datekubernetes中资源的引用方式

Invalid date

• Invalid datekubernetes进入pod方法

Invalid date

• Invalid datekubernetes中部署一个服务用的简单模板

Invalid date

• Invalid datekubernetes中部署prometheus

2021

• 12/28mgr.Add函数用法:在mgr启动的时候会一起把这个对象也启动了
• 12/27mgr中开启控制器选主

2019

• 09/10kubernetes开发教程(4)--自动代码生成
• 09/08kuberntes开发教程系列(3)--了解和编写Custom Resources
• 09/07kuberntes开发教程系列(2):了解client-go是什么
• 09/06kuberntes开发教程系列(1):认识kuberntes API
• 06/24kubernetes持久化存储卷:存储卷快照Snapshot详解
• 01/10kubernetes的本地持久化存储--Local Persistent Volume解析
• 01/02kubernetes挂载卷的基本过程

2018

• 12/21kubernetes容器日志收集方案
• 11/27kubernetes怎么修改与设置触发资源回收策略的默认值
• 11/26kubernetes中默认调度器的调度流程是怎么进行的
• 11/16kubernetes中默认为pod创建的volume目录是在宿主机的什么路径
• 11/10kubernetes动态准入控制Initializers是什么
• 11/10kubernetes是如何创建api对象的
• 10/15nginx中的负载均衡算法
• 10/15nginx使用open_file_cache提升系统性能
• 09/28kubernetes调度pod策略
• 01/05kubernetes初探

Invalid date

• Invalid datekubernetes如何创建被认证的用户

Invalid date

• Invalid datekubernetes存储卷

Invalid date

• Invalid datekubernetes组件

Invalid date

• Invalid datekubernetes访问集群节点的资源

Invalid date

• Invalid datekubernetes资源指标metrics-server

Invalid date

• Invalid datekubernetes资源定义清单中的apiVersion说明

Invalid date

• Invalid datekubernetes资源清单

Invalid date

• Invalid datekubernetes资源限制

2018

• 11/06kubernetes部署dashboard(nginx-ingress模式访问)
• 10/20kubernetes部署metrics-server(2)

Invalid date

• Invalid datekubernetes集群的外部地址和内部地址

Invalid date

• Invalid datekubernetes高级调度方式

2018

• 10/15nginx中upstream模块提供的变量(不含cache)
• 10/15nginx中的keepalive , 共享内存
• 10/15nginx中缓存用法和优化
• 10/10nginx中的http反向代理流程及proxy模块
• 10/05nginx架构基础相关知识
• 08/08prometheus安装

2016

• 03/11linux的五种IO模型

Invalid date

• Invalid date一个nginx-ingress部署示例

2022

• 05/22聚合api编程之自定义kubectl输出字段的方法:metav1.Table
• 03/22取任意yaml资源转化为k8s资源的完全通用写法(kubectl源码的写法)
• 01/05代码自动签发证书
• 01/05如何解析caCert,caPrikey
• 01/03写个通用代码来模拟kubectl apply文件(kustomize模式)
• 01/01如何代码创建自定义用户的config文件

2021

• 12/29如何通过grk来找gvr,或者gvr找gvk
• 11/26代码获取pod的日志
• 11/25获取资源api-reasources
• 11/15自定义controller如何重新拉起被删除的资源
• 11/13判断某个rs是否从属于某个deployment
• 11/05命令行中如何取到serviceaccout的token
• 11/05如何配置token来访问api-server
• 10/25通过labelSelector来选择pod操作
• 10/17初始化控制器controller-runtime中mgr的例子
• 09/29生成config和client的几种写法
• 09/17强制删除ns
• 09/10reconcile的时候如何判断一个资源是否已经存在
• 07/05创建config和clientset

2020

• 10/22创建k8s用户账号
• 09/29如何级联删除资源
• 05/17使用临时调试容器来进行调试

2019

• 10/17如何取出kubectl结果里面的pod名称

2018

• 12/03yaml转json
• 12/03在kubernetes中如何增加和使用node节点上的自定义资源数量
• 11/25在kubernetes中如何让pod绑定在某颗cpu上
• 11/25当在kubernetes中触发了资源回收策略的时候, pod删除的序列是什么
• 11/15基于canel的网络策略
• 11/10在kubernetes中如何添加CRD(Custom Resource Definition)(1)
• 11/07prometheus报警--------通过slack发送报警内容
• 11/02在kubernetes中如何给pod自动填充某些默认字段
• 10/12利用TravisCI同步gcr.io镜像到dockerhub
• 09/25部署一个有证书的ingress-nginx
• 05/03理解docker的rootfs和分层构建联合挂载的概念
• 03/29容器内配置文件和环境变量,参数的传递
• 03/11解决kubeadm安装k8s的时候images不能下载的问题--方法2
• 02/13为什么kubernetes集群上master不会被调度
• 02/12使用kubeadm从0开始搭建kubernetes:v1.11.1

2017

• 11/07tcpdump nc nmap
• 09/22使用ssh进行git登陆和推送
• 06/07用entrypoint脚本来初始化docker自定义配置文件-以nginx为例
• 05/25容器核心技术--chroot ,namespace,cgroups,LCX,和docker
• 02/05国内docker hub的加速镜像服务

kubernetes helm docker tips harbor docker网络 heapster serviceaccount configmap RBAC HPA kbuernetes statefulset kubernetes service ingress prometheus kubernetes 存储卷 kubernetes资源 kubernetes调度 linux base ingress-nginx Linux kubernetes安装 git travis gcr.io镜像 kubernetes网络策略



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

kubernetes docker tips nginx cue docker/tips kuberntes linux Linux-Base tips/docker

