开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何设置kubernetes RBAC资源，使pods可以通过客户端访问API？

RBAC（Role-Based Access Control）是Kubernetes中用于授权和访问控制的一种机制。通过RBAC，可以定义不同角色的权限，并将这些角色分配给用户或用户组，从而实现对Kubernetes集群中资源的访问控制。

要设置Kubernetes RBAC资源，使pods可以通过客户端访问API，可以按照以下步骤进行操作：

创建ServiceAccount：首先，需要创建一个ServiceAccount，用于给pod分配身份。可以使用以下命令创建一个名为my-service-account的ServiceAccount：
创建ServiceAccount：首先，需要创建一个ServiceAccount，用于给pod分配身份。可以使用以下命令创建一个名为my-service-account的ServiceAccount：
创建Role和RoleBinding：接下来，需要创建一个Role和一个RoleBinding，用于定义角色和将角色绑定到ServiceAccount上。Role定义了一组权限，而RoleBinding将Role绑定到ServiceAccount上。可以使用以下命令创建一个名为my-role的Role和一个名为my-role-binding的RoleBinding：
创建Role和RoleBinding：接下来，需要创建一个Role和一个RoleBinding，用于定义角色和将角色绑定到ServiceAccount上。Role定义了一组权限，而RoleBinding将Role绑定到ServiceAccount上。可以使用以下命令创建一个名为my-role的Role和一个名为my-role-binding的RoleBinding：
上述命令中，--verb参数指定了允许的操作（例如get、list、watch），--resource参数指定了允许访问的资源（例如pods）。
将ServiceAccount绑定到pod：最后，需要将创建的ServiceAccount绑定到需要访问API的pod上。可以通过在pod的spec中添加serviceAccountName字段来实现。例如：
将ServiceAccount绑定到pod：最后，需要将创建的ServiceAccount绑定到需要访问API的pod上。可以通过在pod的spec中添加serviceAccountName字段来实现。例如：
上述配置中，serviceAccountName字段指定了要使用的ServiceAccount的名称。

通过以上步骤，就可以设置Kubernetes RBAC资源，使pods可以通过客户端访问API。需要注意的是，以上示例中的Role和RoleBinding仅授予了对pods资源的访问权限，根据实际需求，可以根据需要定义更细粒度的权限和资源。

腾讯云相关产品和产品介绍链接地址：

腾讯云容器服务 TKE：https://cloud.tencent.com/product/tke
腾讯云访问管理 CAM：https://cloud.tencent.com/product/cam

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

k8s基于RBAC的认证、授权介绍和实践

在K8S中，当我们试图通过API与集群资源交互时，必定经过集群资源管理对象入口kube-apiserver。显然不是随随便便来一个请求它都欢迎的，每个请求都需要经过合规检查，包括Authentication(身份验证)、Authorization(授权)和Admission Control(准入控制)。通过一系列验证后才能完成交互。

04

一文读懂 TKE 及 Kubernetes 访问权限控制

作者漆猛龙，腾讯云后台开发工程师，腾讯云TKE的权限与安全模块、集群生命周期管理模块负责人。你有了解过Kubernetes的认证授权链路吗？是否对TKE的权限控制CAM策略、服务角色傻傻分不清楚？本文将会向你介绍腾讯云TKE平台侧的访问控制、Kubernetes访问控制链路，以及演示如何将平台侧账号对接到Kubernetes内。当你在使用腾讯云容器服务TKE（Tencent Kubernetes Engine）的时候，如果多人共用一个账号的情况下，是否有遇到以下问题呢？密钥由多人共享，泄密风险高。

02

Kubernetes-安全认证

Kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对Kubernetes的各种客户端进行认证和鉴权操作。

01

k8s的安全认证

kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对kubernetes的各种客户端进行认证和授权操作。

02

K8s认证_ce安全认证是什么意思

概述 kubernetes作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。所谓的安全性其实就是保证对kubernetes的各种客户端进行认证和授权操作。让所有的客户端以合法的身份和步骤访问k8s 客户端 • 在kubernetes集群中，客户端通常由两类： • User Account：一般是独立于kubernetes之外的其他服务管理的用户账号。 • Service Account：kubernetes管理的账号，用于为Pod的服务进程在访问kubernetes时提供身份标识。

03

理解Kubernetes的RBAC鉴权模式

对于kubernetes集群访问，用户可以使用kubectl、客户端库或构造 REST 请求，经过kubernetes的API Server组件，访问集群资源。当请求到达 API 时，它会经历多个阶段，包括认证、鉴权和准入控制，如下图所示：

04

图解K8s源码 - kube-apiserver下的RBAC鉴权机制

最近有大佬问了阿巩个问题，“开发PaaS平台遇到多租户的权限管理问题该如何处理”。考虑到k8s默认提供了类似的RBAC机制，于是想着借鉴或者直接利用k8s的RBAC来实现，下面是阿巩梳理的这部分内容，特来与大伙分享也让自己对这部分知识更加深化。

01

kubernetes API 访问控制之：授权

可以使用kubectl、客户端库方式对REST API的访问，Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理，其中包含认证、授权以及准入控制（Admission Control）等。如下图所示：

01

Kubernetes之RBAC权限管理

基于角色的权限控制。通过角色关联用户、角色关联权限的方式间接赋予用户权限。在 Kubernetes 中，RBAC 是通过 rbac.authorization.k8s.io API Group 实现的，即允许集群管理员通过 Kubernetes API 动态配置策略。

08

Kubernetes | 安全 - Safety

Kubernetes 作为一个分布式集群的管理工具，保证集群的安全性是其一个重要的任务。API Server 是集群内部各个组件通信的中介，也是外部控制的入口。所以 Kubernetes 的安全机制基本就是围绕保护 API Server 来设计的。Kubernetes 使用了认证（Authentication）、鉴权（Authorization）、准入控制（Admission Control）三步来保证API Server的安全.

04

kubernetes安全框架

• K8S安全控制框架主要由下面3个阶段进行控制，每一个阶段都支持插件方式，通过API Server配置来启用插件。

03

kubernetes | RBAC鉴权和PodAcl

基于centos7.9，docker-ce-20.10.18，kubelet-1.22.3-0

02

授权、鉴权与准入控制

认证过程，只是确认通信的双方都确认了对方是可信的，可以相互通信。而鉴权是确定请求方有哪些资源的权限。API Server 目前支持以下几种授权策略（通过 API Server 的启动参数 “–authorization-mode” 设置）

01

9-Kubernetes入门基础之集群安全介绍

描述: Kubernetes 作为一个分布式的集群管理工具，保证集群的安全性是非常至关重要的。同时由于API Server是集群内部各个组件通信的中介，也是外部控制的入口，所以Kubernetes的安全机制基本是就是围绕保护API Server 来进行设计的;

03

说说Kubernetes的访问控制实现方式

如上图，这是一个典型的 Kubernetes 集群组件图，通过上图我们可以看到 Kubernetes 各组件都是以 APIServer 作为网关通信的。为了安全，APIServer 一般通过 TLS 认证对外暴露，集群组件若要访问 APIServer 则需要相应的 TLS 证书。

02

Kubernetes K8S之鉴权RBAC详解

HTTP Token的认证是用一个很长的特殊编码方式的并且难以被模仿的字符串来表达客户的一种方式。每一个Token对应一个用户名，存储在API Server能访问的文件中。当客户端发起API调用请求时，需要在HTTP Header里放入Token。

03

如何设置基于角色的访问Kubernetes集群

嘉宾博客文章最初发表在Infracloud上，作者是Infracloud软件开发人员Vivek Singh

01

上篇：运维人员不得不看的K8S API入门实战，呕心沥血整理得又臭又长，有人看吗

可参考：https://kubernetes.io/zh-cn/docs/concepts/overview/kubernetes-api/

03

k8s实践(6)--Kubernetes安全：API Server访问控制

安全永远是一个重大的话题，特别是云计算平台，更需要设计出一套完善的安全方案，以应对复杂的场景。 Kubernetes主要使用Docker作为应用承载环境，Kubernetes首先设计出一套API和敏感信息处理方案，当然也基于Docker提供容器安全控制。以下是Kubernetes的安全设计原则：

02

Kubernetes 安全机制解读

在 k8s 中，所有资源的访问和变更都是围绕 APIServer 展开的。比如说 kubectl 命令、客户端 HTTP RESTFUL 请求，都是去 call APIServer 的 API 进行的，本文就重点解读 k8s 为了集群安全，都做了些什么。

04

Kubernetes 必须掌握技能之 RBAC

基于角色的访问控制（Role-Based Access Control, 即 "RBAC"）：使用 “rbac.authorization.k8s.io” API Group 实现授权决策，允许管理员通过 Kubernetes API 动态配置策略。

03

创建资源池租户

Java版云管平台项目中创建资源池租户，南向接口需要对底层的Kubernetes创建namespace的同时创建同名Kubernetes用户。

01

mac 上学习k8s系列（17）rbac 源码学习（part I）

整理了下k8s 源码的核心数据结构，类图如上，可以看到核心就是Role和RoleBinding，对应到资源文件如下

00

K8s API访问控制

我们在请求API Server的时候，会经历哪些步骤呢？总得来说，有如下步骤：

03

附005.Kubernetes身份认证

与Kubernetes交互通常有kubectl、客户端（Dashboard）、REST API请求。

03

kubernetes(十二) 准入控制和helm v3包管理

RBAC（Role-Based Access Control，基于角色的访问控制）：负责完成授权（Authorization）工作。

03

为了让大家能够看到K8S Dashboard DEMO，我创建了一个“只读用户”

这两天抽空搞了下Kubernetes集群和Traefik，有很多朋友私信我想要看看实际的Kubernetes集群 Dashboard Demo效果，所以简单的把这两个服务开放出来啦！

03

【重识云原生】第六章容器6.3.2节——API Server组件

kube-apiserver 是 Kubernetes 最重要的核心组件之一，是所有服务访问的统一入口（所有请求的统一的入口），并提供认证、授权、访问控制、API 注册和发现等能力，同时也是是 Kubernetes Cluster 的前端接口，各种客户端工具（CLI 或 UI）以及 Kubernetes 其他组件可以通过它管理 Cluster 的各种资源。

01

【K8S专栏】Kubernetes权限管理

Kubernetes 主要通过 API Server 对外提供服务，对于这样的系统来说，如果不加以安全限制，那么可能导致请求被滥用，甚至导致整个集群崩塌。

02

kubernetes-身份与权限认证（十四）

https://kubernetes.io/docs/reference/access-authn-authz/rbac/

02

关于 Kubernetes中API Server授权(RBAC)管理的一些笔记

我也突然懂得，原来痛苦、失望和悲愁不是为了惹恼我们，使我们气馁或者无地自容；它们的存在，是为了使我们心智成熟，臻于完善。——赫尔曼·黑塞《彼得·卡门青》

02

Kubernetes 的授权和审计

Kubernetes 中的账号和认证，除了基础的双向证书认证之外，还有 OIDC 等方式的第三方集成能力，这里暂且不提。这里主要想谈谈授权和审计方面的内容。

01

浅析 kubernetes 的认证与鉴权机制

笔者最初接触 kubernetes 时使用的是 v1.4 版本，集群间的通信仅使用 8080 端口，认证与鉴权机制还未得到完善，到后来开始使用 static token 作为认证机制，直到 v1.6 时才开始使用 TLS 认证。随着社区的发展，kubernetes 的认证与鉴权机制已经越来越完善，新版本已经全面趋于 TLS + RBAC 配置，但其认证与鉴权机制也极其复杂，本文将会带你一步步了解。

00

浅析 kubernetes 的认证与鉴权机制

笔者最初接触 kubernetes 时使用的是 v1.4 版本，集群间的通信仅使用 8080 端口，认证与鉴权机制还未得到完善，到后来开始使用 static token 作为认证机制，直到 v1.6 时才开始使用 TLS 认证。随着社区的发展，kubernetes 的认证与鉴权机制已经越来越完善，新版本已经全面趋于 TLS + RBAC 配置，但其认证与鉴权机制也极其复杂，本文将会带你一步步了解。

02

使用 code-generator 为 CustomResources 生成代码

笔者最初接触 kubernetes 时使用的是 v1.4 版本，集群间的通信仅使用 8080 端口，认证与鉴权机制还未得到完善，到后来开始使用 static token 作为认证机制，直到 v1.6 时才开始使用 TLS 认证。随着社区的发展，kubernetes 的认证与鉴权机制已经越来越完善，新版本已经全面趋于 TLS + RBAC 配置，但其认证与鉴权机制也极其复杂，本文将会带你一步步了解。

02

备战CKA每日一题——第11天 | 权限控制怎么做？

获取到cka-1202-sa这个Service Account绑定的secret并base64 -d解码token字段：

02

033.Kubernetes集群安全-API Server认证及授权

Kubernetes通过一系列机制来实现集群的安全控制，其中包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等。集群的安全性主要有如下目标：

01

教程 | 如何使用Kubernetes GPU集群自动训练和加速深度学习？

选自GitHub 机器之心编译参与：蒋思源、Smith、吴攀像 Docker 这样的容器格式和 Kubernetes 之类的容器管理平台正越来越受到人们的欢迎，这不仅仅是因为人们喜欢微服务，出于很多原因，公司的首席信息官和工程高管都乐于接受微服务，他们也会把容器视为他们的混合云战略的关键组成部分。这是因为容器空间（Docker、Kubernetes 和 DC / OS 等）的核心技术、生态系统是全面开源的，这为用户提供了抽象的虚拟化工具。近日，卡尔斯鲁厄理工学院（KIT）的计算机科学学生 Frederi

04

AWS alb eks traefik realip后端真实IP

亚马逊 eks 集群代理用了traefik alb绑定 traefik 在node 上面暴露的端口，对外提供服务。一直也没有在意是否能正常获取客户端IP（腾讯云阿里云的traefik 后端应用都能正常获取客户端IP），后端php服务基础镜像基于https://github.com/richarvey/nginx-php-fpm构建，对日志进行了json格式化，安装了一些其他依赖。最近后端小伙伴有个需求要获取到客户端IP然后上传给第三方，这才发现xff字段是内网IP，大概就是这样的：

02

前沿研究 | 容器逃逸即集群管理员？你的集群真的安全吗？

在2022年的KubeCon会议上，来自Palo Alto Networks的安全研究员Yuval Avrahami和Shaul Ben Hai分享了议题《Trampoline Pods：Node to Admin PrivEsc Built Into Popular K8s Platforms》[1] ，介绍了攻击者在容器逃逸之后如何利用节点上“TrampolinePods”的权限来接管集群，其中涉及的技术和思路十分值得学习与思考，本文主要介绍该技术的原理和步骤，扩展了同一类型的方法，希望云安全人员在深入了解攻击技术之后，能够发现并缓解生产环境中存在的类似风险，共同建设云环境安全。

02

Kubernetes云原生安全渗透学习

Kubernetes简称k8s，是当前主流的容器调度平台，被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境，在目前全面上云的趋势，有必要学习在k8s环境的下的一些攻击手法，本文非常适合刚入门或者准备学习云安全方向的安全人员，每个步骤都是亲手复现整理。文中如有错误的地方，还望各位大佬在评论区指正。

03

二进制部署k8s教程14 - 部署coredns

表示 coredns 能够访问外网，并且能够进行服务发现，能够访问其他服务。即正常工作。

01

Helm的安装和使用

定义rbac-config.yaml文件，创建tiller账号，并和cluster-admin绑定：

01

关于Kubernetes中kube-apiserver使用token、kubeconfig认证的一些笔记

只有能做到“尽人事而听天命”，一个人才能永远保持心情的平衡。----- 《季羡林谈人生》

03

Helm应用包管理器初步认识

每个成功的软件平台都有一个优秀的打包系统，比如 Debian、Ubuntu 的 apt，Redhat、Centos 的 yum。而 Helm 则是 Kubernetes 上的包管理器，可以很方便的将之前打包好的yaml文件部署到kubernetes上。

01

快给你的Kubernetes集群建一个只读账户（防止高管。。。后）

我们知道搭完k8s集群会创建一个默认的管理员kubernetes-admin用户该用户拥有所以权限，有一天开发或测试的同学需要登录到k8s集群了解业务pod的状态等，我们不可能提供管理员的账户给他不安全如果他因为某个高管。。。删库跑路啥办？？，所以建一个只读账户迫在眉睫。

01

19-Kubernetes进阶之学习企业实践扩充记录

描述: 通常在集群安装完成后,我们需要对其设置持久卷、网络存储等插件, 除此之外我们还需安装metrics-server以便于获取Node与Pod相关资源消耗等信息，否则你在执行kubectl top命令时会提示error: Metrics API not available, 所以本小节将针对Metrics-server的安装进行讲解。

02

Kubernetes API服务器的安全防护

认证插件会连同用户名，和用户id返回组，组可以一次性给用户服务多个权限，不用单次赋予，

02

Kubernetes-身份认证

所有的系统都存在访问和使用其的用户，Kubernetes也一样，在Kubernetes集群中有存在两类用户：

02

最详细的 K8S 学习笔记总结（2021最新版）！建议收藏

虽然 Docker 已经很强大了，但是在实际使用上还是有诸多不便，比如集群管理、资源调度、文件管理等等。那么在这样一个百花齐放的容器时代涌现出了很多解决方案，比如 Mesos、Swarm、Kubernetes 等等，其中谷歌开源的 Kubernetes 是作为老大哥的存在。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭