开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

有人知道如何在kube 1.5.7中不使用RBAC的情况下为用户提供个人有限集群访问权限吗？

在kube 1.5.7中，如果不使用RBAC（Role-Based Access Control），可以通过以下步骤为用户提供个人有限集群访问权限：

创建一个新的命名空间（Namespace）来隔离用户的资源。可以使用以下命令创建命名空间：kubectl create namespace <namespace-name>
创建一个新的服务账号（ServiceAccount）来代表用户。可以使用以下命令创建服务账号：kubectl create serviceaccount <service-account-name> -n <namespace-name>
授予服务账号一些有限的权限，以便用户可以访问集群中的资源。可以使用以下命令创建一个角色（Role）并绑定到服务账号上：kubectl create role <role-name> --verb=<verbs> --resource=<resources> -n <namespace-name> kubectl create rolebinding <role-binding-name> --role=<role-name> --serviceaccount=<namespace-name>:<service-account-name> -n <namespace-name>

其中，<verbs>是允许的操作（例如：get、list、create、delete），<resources>是允许访问的资源类型（例如：pods、deployments、services）。

为用户生成访问凭证（Token）。可以使用以下命令获取服务账号的访问凭证：kubectl get secret $(kubectl get serviceaccount <service-account-name> -n <namespace-name> -o jsonpath='{.secrets[0].name}') -n <namespace-name> -o jsonpath='{.data.token}' | base64 --decode

运行以上命令后，将会返回一个访问凭证（Token），用户可以使用该凭证进行集群访问。

请注意，以上方法是在不使用RBAC的情况下为用户提供有限集群访问权限的一种方式。然而，建议在生产环境中使用RBAC来更好地管理和控制用户的访问权限。

腾讯云相关产品和产品介绍链接地址：

腾讯云容器服务（Tencent Kubernetes Engine，TKE）：https://cloud.tencent.com/product/tke
腾讯云访问管理（CAM）：https://cloud.tencent.com/product/cam

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

利用 Open Policy Agent 实现 K8s 授权

本文从使用目的、设计方式以及示例演示阐述了如何利用 Webhook 授权模块使 OPA 实现高级授权策略。使用动机在一些项目中，我们希望为用户提供类似集群管理员的访问权限。...但为了确保基线的安全性和稳定性，我们不希望授予用户完整的集群管理员权限。...从长远发展角度来看，这些规则无法得到很好的维护。特别是在用户群不断增长的情况下，只要有人检测到与配置不匹配的边缘情况，调整角色不太可行。...综上所述，我们不能选择基于白名单的配置授权，而是需要切换到基于黑名单的模型。因为，我们真正想要的是为客户提供集群管理员访问权限，并限制某些特定权限。 ?...它的基本思想是通过 RBAC 在集群范围内授予 Pod 的创建/更新/删除权限，然后使用 OPA 策略拒绝访问 kube-system 中的 Pod。

2.2K2 2

说说Kubernetes的访问控制实现方式

RBAC 以上主要介绍 TLS 认证，认证之后我们如何在认证基础上针对资源授权管理呢？这里就要介绍到 RBAC 机制。RBAC，字面意思就是基于角色的权限访问控制。...Role 是对用户拥有权限的抽象，RoleBinding 将角色绑定到用户（User）、组（Group）或者服务账户（Service Account）。...的情况下，CN 要生效，可以加上 system:serviceaccount: 前缀，如 CoreDNS 的例子，如要 TLS 方式访问，可以配置 CN 为 system:serviceaccount...TLS bootstrapping 前文已经提了，之所以使用 TLS 认证是为了集群间通信安全目的。正常情况下，我们在扩缩容节点的时候需要手动给对应的节点签发证书，这会增加一些额外的工作。...APIServer 可以通过 --authorization-mode=Node 开启 Node 授权，正常情况下开启 Node 的同时也会开启 RBAC，如 --authorization-mode=

6702 0

你的Helm安全吗？

在Kubernetes当中，用户通过使用API对象，如Pod、Service、Deployment等，来描述应用的程序规则，而这些资源对象的定义一般需要写入一系列的YAML文件中，然后通过 Kubernetes...但由于Tiller具有root用户访问权限，使得有人可以未经授权访问Kubernetes服务器你，从而构成了很大的风险。...JFrog的专家，也是Helm的联合创始人，Rimas Mocevicius，提供了一种创新的、优雅的方法——Tillerless Helm，来解决这种情况，从而保护用户的Kubernetes集群。...Tiller常用的RBAC授权如下所示： 2.png 目前这样的架构工作得很好，为用户提供了灵活和方便，但同时也存在一些安全问题。...从上面的RBAC文件中可以看出，Tiller被授予了cluster-admin的角色，也就是说，Tiller在用户的Kubernetes集群中具有完全的管理权限，这就具备了有人未经授权而访问和控制集群的风险

1K4 0

k8s之RBAC实战

所以是需要认证授权的，而kube-controller-manager、kube-scheduler是127.0.0.1不需要认证授权 kubectl默认是使用/~/user/.kube/config文件配置的集群和证书去访问...我们使用的CA认证，这个我们没开启RBAC的时候是没毛病的，所以不是！！！那就是授权没过了!!! 用户192.168.144.128这个哪里来的？？？...预定义了一些 RBAC 使用的 RoleBindings（角色），如 cluster-admin （角色）将 Group（组） system:masters与 Role（角色） cluster-admin...绑定，该 Role 授予了调用kube-apiserver 的所有 API的权限；在证书的签名中，OU 指定该证书的 Group 为 system:masters，kubelet 使用该证书访问...同理其他的组件也一样 kubectl权限上面我们已经说过：kubectl默认是使用/~/user/.kube/config文件配置的集群和证书去访问。

4141 0

Kubernetes 无法查看 pods 日志问题

认证被拒绝解决方法错误的解决方法通过谷歌搜索时，发现很多博客文章使用下面方法来解决上面报错。修改 kubelet.config 配置，添加下面配置，开启匿名访问。...问题虽然可以解决，但危害整个集群安全。所以作者不推荐这样操作。 authentication: anonymous: enabled: true 正确的解决方法 ?...正确的解决方法注意：作者生成证书时使用 kubernetes 用户。 ?...解决思路：从报错可以知道，kubernetes 用户没有查看 Pods 日志权限，我们可以给 kubernetes 用户绑定一个权限。...Kubernetes 集群默认提供一个 system:kubelet-api-admin 权限。 ?

2.1K3 0

如何设置基于角色的访问Kubernetes集群

：你必须为一些用户提供对Kubernetes集群的有限访问。...为了实现这种基于角色的访问，我们在Kubernetes中使用了身份验证和授权的概念。一般来说，有三种用户需要访问Kubernetes集群：开发人员/管理员：负责在集群上执行管理或开发任务的用户。...这包括升级集群或在集群上创建资源/工作负载等操作。最终用户：访问部署在Kubernetes集群上的应用程序的用户。这些用户的访问限制由应用程序本身管理。...这里，我们将重点讨论基于角色的访问控制（Role Based Access Control，RBAC）。因此，可以使用RBAC管理的用户类别是开发人员/管理员。...SSL的身份验证机制，通过向kube-apiserver进行身份验证来访问Kubernetes集群。

1.6K1 0

『高级篇』docker之kubernetes理解认证、授权（37）

理解认证授权为什么要认证想理解认证，我们得从认证解决什么问题、防止什么问题的发生入手。防止什么问题呢？是防止有人入侵你的集群，root你的机器后让我们集群依然安全吗？...kubernetes的认证授权 Kubernetes集群的所有操作基本上都是通过kube-apiserver这个组件进行的，它提供HTTP RESTful形式的API供集群内外客户端调用。...Service Account Tokens 认证有些情况下，我们希望在pod内部访问api-server，获取集群的信息，甚至对集群进行改动。...kubernetes的授权在Kubernetes1.6版本中新增角色访问控制机制（Role-Based Access，RBAC）让集群管理员可以针对特定使用者或服务账号的角色，进行更精确的资源访问控制...在RBAC中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。

5452 0

K8s API访问控制

总得来说，有如下步骤： · 认证(Authentication)是识别用户的过程，这个过程需要知道用户到底是谁； · 而授权(Authorization)是识别已认证用户访问权限的过程，这个过程判断用户是否具有某些权限...授予 Service Account 权限和读取 secret 功能时要谨慎。 2 普通用户普通用户就是个人用户，比如某个研发人员或外部应用的账号。...但是K8s并没有相应的资源对象或者API来支持常规的个人用户。拥有K8s集群的CA证书签名的有效证书，个人用户就可以访问K8s集群了。...1 RBAC授权基于角色（Role）的访问控制（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。...通过删除或重建的方式更改绑定的Role，可以确保给主体授予新角色的权限（而不是在不验证所有现有主体的情况下去修改roleRef）。

2K3 0

11 . KubernetesRBAC认证及ServiceAccount、Dashboard

作为kubeadm安装方式的默认选项，足见其重要程度。相对于其他访问控制方式，新的RBAC具有如下优势。 ◎ 对集群中的资源和非资源权限均有完整的覆盖。...Kubernetes 基于角色的访问控制使用rbac.authorization.k8s.io API组来实现权限控制，RBAC允许管理员通过Kubernetes API动态的配置权限策略。...您可以使用 Dashboard 获取运行在集群中的应用的概览信息，也可以创建或者修改 Kubernetes 资源（如 Deployment，Job，DaemonSet 等等）。...Kubernetes 基于角色的访问控制使用rbac.authorization.k8s.io API组来实现权限控制，RBAC允许管理员通过Kubernetes API动态的配置权限策略。...首先找到kubectl命令的配置文件，默认情况下为/etc/kubernetes/admin.conf # 2.

1K7 0

使用 code-generator 为 CustomResources 生成代码

Service Account Tokens 有些情况下，我们希望在 pod 内部访问 apiserver，获取集群的信息，甚至对集群进行改动。...针对这种情况，kubernetes 提供了一种特殊的认证方式：serviceaccounts。...目前 kubernetes 中的用户分为内部用户和外部用户，内部用户指在 kubernetes 集群中的 pod 要访问 apiserver 时所使用的，也就是 serviceaccounts，内部用户需要在...访问 apiserver 的几种方式通过上文可以知道访问 apiserver 时需要通过认证、鉴权以及访问控制三个步骤，认证的方式可以使用 serviceaccounts 和 X509 证书，鉴权的方式使用...serviceaccounts 是 kubernetes 针对 pod 内访问 apiserver 提供的认证方式，那可以用在外部 client 端吗？

9812 0

浅析 kubernetes 的认证与鉴权机制

Service Account Tokens 有些情况下，我们希望在 pod 内部访问 apiserver，获取集群的信息，甚至对集群进行改动。...针对这种情况，kubernetes 提供了一种特殊的认证方式：serviceaccounts。...目前 kubernetes 中的用户分为内部用户和外部用户，内部用户指在 kubernetes 集群中的 pod 要访问 apiserver 时所使用的，也就是 serviceaccounts，内部用户需要在...访问 apiserver 的几种方式通过上文可以知道访问 apiserver 时需要通过认证、鉴权以及访问控制三个步骤，认证的方式可以使用 serviceaccounts 和 X509 证书，鉴权的方式使用...serviceaccounts 是 kubernetes 针对 pod 内访问 apiserver 提供的认证方式，那可以用在外部 client 端吗？

1.3K2 0

浅析 kubernetes 的认证与鉴权机制

Service Account Tokens 有些情况下，我们希望在 pod 内部访问 apiserver，获取集群的信息，甚至对集群进行改动。...针对这种情况，kubernetes 提供了一种特殊的认证方式：serviceaccounts。...目前 kubernetes 中的用户分为内部用户和外部用户，内部用户指在 kubernetes 集群中的 pod 要访问 apiserver 时所使用的，也就是 serviceaccounts，内部用户需要在...[csr] 访问 apiserver 的几种方式通过上文可以知道访问 apiserver 时需要通过认证、鉴权以及访问控制三个步骤，认证的方式可以使用 serviceaccounts 和 X509...serviceaccounts 是 kubernetes 针对 pod 内访问 apiserver 提供的认证方式，那可以用在外部 client 端吗？

1.8K0 0

Kubernetes之RBAC权限管理

用户组信息是 Kubernetes 现在提供的一种身份验证模块，与用户一样，对组的字符串没有格式要求，只是不能使用保留的前缀 system: 。...授予超级用户访问权限给集群范围内的所有服务帐户（强烈不鼓励）如果你不关心如何区分权限，你可以将超级用户访问权限授予所有服务账号。...更改 roleRef 需要删除/重建绑定，确保要赋予绑定的完整主体列表是新的角色（而不是只是启用修改 roleRef 在不验证所有现有主体的情况下的，应该授予新角色对应的权限）。...RBAC在TKE中的应用 10.1 简介 TKE 提供了对接 Kubernetes RBAC 的授权模式，便于对子账号进行细粒度的访问权限控制。...如下图所示： 10.4 新建集群身份权限预设容器服务控制台提供授权管理页，默认主账号及集群创建者具备管理员权限。

5.3K8 1

你需要了解的Kubernetes RBAC权限

K8s RBAC 提供了三个具有隐藏权限的权限，这些权限可能会被恶意使用。了解如何控制其使用。...基于角色的访问控制 (RBAC ) 是 Kubernetes (K8s) 中的默认访问控制方法。此模型使用特定动词对权限进行分类，以定义与资源的允许交互。...bind: 允许用户创建和编辑角色绑定和集群角色绑定，而无需分配权限。 impersonate: 允许用户模拟其他用户并在集群或不同组中获得其权限。可以使用此动词访问关键数据。...但这些动词也为恶意使用打开了大门，因为在某些情况下，它们使用户能够以管理员权限访问关键的基础设施组件。三种做法可以帮助你减轻这些动词被滥用或恶意使用的潜在危险：定期检查 RBAC 清单。...使用 escalate，用户可以在角色中编写任何参数，并成为命名空间或集群的管理员。因此，bind 限制了用户，而 escalate 为他们提供了更多选项。如果你需要授予这些权限，请记住这一点。

1321 0

图解K8s源码 - kube-apiserver下的RBAC鉴权机制

考虑到k8s默认提供了类似的RBAC机制，于是想着借鉴或者直接利用k8s的RBAC来实现，下面是阿巩梳理的这部分内容，特来与大伙分享也让自己对这部分知识更加深化。...在介绍 RBAC 之前，先看下k8s的kube-apiserver都支持哪些授权机制。对于访问k8s集群，用户可以通过 kubectl、客户端库或构造 REST 请求来访问。...RBAC 授权器是目前使用最为广泛的授权模型，用户通过加入某些角色从而得到这些角色的操作权限，这极大地简化了权限管理。...在 kube-apiserver中的 RBAC 授权器中，新增了角色与集群绑定的概念。...下面是一个 ClusterRole 的示例，可用来为任一特定名字空间中的 Secret 授予读访问权限，或者跨名字空间的访问权限（取决于该角色是如何绑定的）： apiVersion: rbac.authorization.k8s.io

6601 0

附006.Kubernetes RBAC授权

一 RBAC 1.1 RBAC授权基于角色的访问控制（RBAC）是一种基于个人用户的角色来管理对计算机或网络资源的访问的方法。...可以使用参数role在一个namespace中定义一个角色，或者在集群范围内使用ClusterRole定义集群角色。一个Role只能用于授予对单个命名空间内的资源的访问权限。...一个ClusterRole可用于授予与一个Role相同的权限，同时由于它们是群集范围的，因此它们还可用于授予对以下内容的访问权限：集群范围的资源（如nodes）； non-resource endpoints...资源的读访问权限。...--user=system:kube-proxy 解释：在整个集群中，将system:node-proxier的clusterrole和system:kube-proxy用户进行绑定。

4475 0

快给你的Kubernetes集群建一个只读账户（防止高管。。。后）

需求：我们知道搭完k8s集群会创建一个默认的管理员kubernetes-admin用户该用户拥有所以权限，有一天开发或测试的同学需要登录到k8s集群了解业务pod的状态等，我们不可能提供管理员的账户给他不安全如果他因为某个高管...openssl x509 -in jackhe.crt -text -noout image.png 二、创建一个新的集群信息，因为最终我们是提供config给使用者，默认的config文件有管理员信息当我们执行...四、配置context，⽤来组合cluster和credentials，即访问的集群的上下⽂。...五、指定上下文切换到jackhe访问集群，我们能看到现在是没有任何权限的。...kubectl get pod --kubeconfig=/tmp/config image.png 九、大功告成，接下来我们只要把/tmp/config文件放到用户的家目录.kube下就可以使用了

1.1K1 0

Kubernetes-基于RBAC的授权

可以通过Role定义在一个命名空间中的角色，或者可以使用ClusterRole定义集群范围的角色。一个角色只能被用来授予访问单一命令空间中的资源。...system:被保留作为用来Kubernetes系统使用，因此不能作为用户的前缀。组也有认证模块提供，格式与用户类似。...默认情况下，RBAC策略授予控制板组件、Node和控制器作用域的权限，但是未授予“kube-system”命名空间外服务帐户的访问权限。...(不推荐) 如果不想按照每个命名空间管理权限，可以在整个集群的访问进行授权。...\--clusterrole=view \--group=system:serviceaccounts 5）在整个集群中授予超级用户访问所有的服务帐户 (强烈不推荐) 如果对访问权限不太重视，可以授予超级用户访问所有的服务帐户

8092 0

Kubernetes-基于RBAC的授权

可以通过Role定义在一个命名空间中的角色，或者可以使用ClusterRole定义集群范围的角色。一个角色只能被用来授予访问单一命令空间中的资源。...system:被保留作为用来Kubernetes系统使用，因此不能作为用户的前缀。组也有认证模块提供，格式与用户类似。...默认情况下，RBAC策略授予控制板组件、Node和控制器作用域的权限，但是未授予“kube-system”命名空间外服务帐户的访问权限。...(不推荐) 如果不想按照每个命名空间管理权限，可以在整个集群的访问进行授权。...\ --clusterrole=view \ --group=system:serviceaccounts 5）在整个集群中授予超级用户访问所有的服务帐户 (强烈不推荐) 如果对访问权限不太重视

8693 0

Kubernetes（k8s）权限管理RBAC详解

、RBAC、Node共6种模式，从1.6版本起，K8S默认启用RBAC访问控制策略，目前RBAC已作为稳定的功能，管理员可以通过 Kubernetes API 动态配置策略来启用RBAC，需要在 kube-apiserver...API 对象在学习 RBAC 之前，我们还需要再去理解下 Kubernetes 集群中的对象，我们知道，在 Kubernetes 集群中，Kubernetes 对象是我们持久化的实体，就是最终存入...级别，例如 v1alpha1 默认情况下是被禁用的，可以随时删除对功能的支持，所以要慎用 Beta 级别，例如 v2beta1 默认情况下是启用的，表示代码已经经过了很好的测试，但是对象的语义可能会在随后的版本中以不兼容的方式更改...Account：服务帐号，通过 Kubernetes API 来管理的一些用户帐号，和 namespace 进行关联的，适用于集群内部运行的应用程序，需要通过 API 来完成权限认证，所以在集群内部进行权限操作...，这里我们使用的 cluster-admin 这个集群角色是拥有最高权限的集群角色，所以一般需要谨慎使用该集群角色。

9674 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭