GKE集群权限
是指Google Kubernetes Engine(GKE)中用于管理和控制集群资源的权限系统。GKE是Google Cloud提供的一种托管式Kubernetes服务,它允许用户轻松地创建、管理和扩展Kubernetes集群。
在GKE中,集群权限是通过使用Kubernetes RBAC(Role-Based Access Control)来管理的。RBAC是一种授权机制,它基于角色和角色绑定来定义用户或服务账号对集群资源的访问权限。
GKE集群权限的主要分类包括:
- 集群级别权限:这些权限适用于整个集群,包括创建、删除和管理集群本身的操作。例如,可以授予用户创建和删除集群的权限。
- 命名空间级别权限:这些权限适用于特定的命名空间,用于控制对命名空间内资源的访问。例如,可以授予用户在特定命名空间中创建和管理Pod的权限。
- 资源级别权限:这些权限适用于特定的Kubernetes资源,如Pod、Service、Deployment等。可以授予用户对这些资源的读取、写入和管理权限。
GKE集群权限的优势包括:
- 灵活性:GKE集群权限可以根据实际需求进行细粒度的控制,确保只有授权的用户或服务账号能够访问和管理集群资源。
- 安全性:RBAC机制可以有效地保护集群免受未经授权的访问和操作。只有具有适当权限的用户才能执行敏感操作,从而提高了集群的安全性。
- 可扩展性:GKE集群权限可以根据业务需求进行灵活的扩展和调整。可以根据团队或项目的需要创建不同的角色,并将其分配给相应的用户或服务账号。
GKE集群权限的应用场景包括:
- 多团队协作:在大型组织或项目中,不同团队可能需要独立管理自己的资源。通过GKE集群权限,可以为每个团队创建独立的命名空间,并授予他们适当的权限,从而实现多团队协作。
- 服务账号管理:GKE支持使用服务账号来访问集群资源。通过GKE集群权限,可以为不同的服务账号分配不同的权限,以控制它们对集群资源的访问。
- 安全审计:GKE集群权限可以记录和跟踪用户对集群资源的操作。这对于安全审计和故障排查非常有帮助,可以追踪到具体的操作人员和操作时间。
腾讯云提供了类似的托管式Kubernetes服务,称为腾讯云容器服务(Tencent Kubernetes Engine,TKE)。您可以通过TKE来创建和管理Kubernetes集群,并使用TKE集群权限来管理和控制集群资源的访问权限。更多关于TKE集群权限的信息,请参考腾讯云官方文档:TKE集群权限。
相关·内容
2回答
如何在GCloud集群中实现kubernetes角色中的权限?
kubernetes、google-cloud-platform、google-kubernetes-engine、rbac、google-iam
我在GKE上运行Kubernetes应用程序。在GCP IAM控制台中,我可以看到几个内置角色,例如Kubernetes Engine Admin。每个角色都有一个ID和与之关联的权限-例如,Kubernetes Engine Admin具有ID roles/container.admin和大约300个权限,每个权限都类似于container.apiServices.create。 在kubernetes集群中,我可以运行: kubectl get clusterrole | grep -v system: # exclude system roles 这将返回以下内容: NAME
浏览 35提问于2019-03-23得票数 0
1回答
允许通过角色修补Kubernetes资源元数据
kubernetes、kubernetes-rbac
是否有可能通过Kubernetes集群中的一个角色单独允许修补资源的元数据?
我只希望允许修补命名空间的元数据,而不授予整个命名空间对象写权限。
usecase允许部署管道向命名空间添加/更改注释,而不给它们完全的控制。
浏览 4提问于2022-04-05得票数 0
1回答
带有集群角色问题的Fil耗7.3.2服务帐户
elasticsearch、kubernetes、elastic-stack、filebeat、rbac
我的Kubernetes用户不是集群中的管理员。因此,我只是不能为文件节拍服务帐户创建集群角色绑定。我正在使用自动发现在文件拍。有人能帮我吗?没有集群角色我怎么能做到这一点。
apiVersion: v1
kind: ConfigMap
metadata:
name: filebeat-config
namespace: logging
labels:
k8s-app: filebeat
kubernetes.io/cluster-service: "true"
data:
filebeat.yml: |-
setup.dashboard
浏览 3提问于2021-05-03得票数 1
2回答
Kubernetes服务帐户安全性
kubernetes
我正在尝试理解授予kubernetes serviceaccount执行部署、服务创建等权限的安全含义。该角色是具有命名空间角色绑定的集群角色。
使用案例是使用服务帐户自动化/编排群集内的一些任务。版本为1.16
浏览 2提问于2020-08-05得票数 0
1回答
按access限制列出的Kubernetes命名空间
kubernetes、rbac
我有一组users(dev-team),它们只需要访问dev和qa名称空间。我创建了一个服务帐户、集群角色和集群角色绑定,如下所示。
服务帐户
apiVersion: v1
kind: ServiceAccount
metadata:
name: dev-team
集群角色
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
name: dev-team-users
rules:
- apiGroups: ["rbac.authorization.k8s.io","
浏览 1提问于2019-11-27得票数 9
回答已采纳
1回答
Kubernetes管理隔离
kubernetes、kubernetes-operator
大多数kubernetes操作符都需要能够创建集群角色、集群角色绑定和crds。
我想要一个适当的rbac隔离,并且我想避免将部署服务帐户直接作为管理员。
但是如果我只给它集群角色编辑权限,它似乎允许它把自己放在最后的admin。
处理这个问题的正确方法是什么?(如果有)。
浏览 0提问于2019-06-26得票数 0
1回答
如何让其他用户访问IBM Bluemix上的kubernetes?
kubernetes、ibm-cloud、ibm-cloud-kubernetes、iks
我在IBM Bluemix上的用户帐户下创建了一个kubernetes集群,并将另一个添加到我的组织中。但他看不到我的星团。是否有其他配置?
浏览 6提问于2017-09-04得票数 0
2回答
当试图锁定命名空间时,RBAC没有按预期工作。
kubernetes、roles、kubectl、rbac
我试图使用RBAC锁定kubernetes中的命名空间,因此我遵循了这个。
我正在开发一个裸金属集群 (no,无云提供商),并使用Ansible安装kubernetes。
我创建了名称空间:
apiVersion: v1
kind: Namespace
metadata:
name: lockdown
服务帐户:
apiVersion: v1
kind: ServiceAccount
metadata:
name: sa-lockdown
namespace: lockdown
角色:
kind: Role
apiVersion: rbac.authorization.k8s.io
浏览 1提问于2018-11-19得票数 0
回答已采纳
1回答
在gitlab CI中连接kubernetes集群的禁止错误
kubernetes、gitlab、gitlab-ci
正如在中所描述的那样,我试图在自己托管的gitlab实例中访问kubernetes集群。
deploy:
stage: deployment
script:
- kubectl create secret docker-registry gitlab-registry --docker-server="$CI_REGISTRY" --docker-username="$CI_DEPLOY_USER" --docker-password="$CI_DEPLOY_PASSWORD" --docker-email="$GITL
浏览 12提问于2021-09-15得票数 5
回答已采纳
1回答
将Helm 3安装到特定命名空间的Kubernetes权限
kubernetes、permissions、continuous-integration
我正在尝试设置一个用户,该用户将拥有使用Helm3安装到特定名称空间的权限。(对于我的CI/CD系统。) 例如,如果用户尝试运行 使用 然后它就可以正常工作了。但如果他们尝试 它将失败。 但我发现自己被各种选择压得喘不过气来。创建角色时,您必须选择 和 ..。我看到一个资源叫做 ,但我读到也需要秘密访问。我做了一些谷歌搜索,但大多数点击量都是关于配置Helm 2(使用tiller)。 使用Helm 3安装所需的最低Kubernetes权限是多少?
浏览 128提问于2021-02-17得票数 0
回答已采纳
1回答
IAM和RBAC在Google云容器引擎(GKE)上的冲突
kubernetes、google-compute-engine、google-kubernetes-engine、google-iam、kubernetes-security
上下文
对Google (GKE) kubernetes集群的访问是通过Google特性管理的;
管理员会邀请一个新用户(使用他们的google帐户/登录)并为他们指定一个角色。
下面的示例角色是“”,它将允许用户访问kubernetes集群并运行所有“视图”操作。
用户可以在本地机器上使用gcloud auth login,然后使用gcloud container clusters get-credentials对Google进行身份验证,并让gcloud工具编写一个kubernetes配置文件,准备好使用集群。
然后,用户可以使用kubectl访问集群。用上面的
浏览 0提问于2017-08-29得票数 7
2回答
NetworkPolicy的自定义规则
kubernetes
请您帮助我了解如何配置NetworkPolicy以便设置规则,即只有预定义的用户角色才能访问特定的pod (或服务)?
我从Kubernetes开始,阅读了"Kebernetes in action",但没有找到任何关于如何做到这一点的描述。一般来说,这个请求是授权任务,唯一的解决方案(我想)是应用某种CustomResourceDefinition并创建我自己的控制器来管理CustomNetworkPolicy的行为。我是在正确的道路上,还是有任何适当的解决方案?
我的微服务目前在应用程序级别上配备了授权,但我需要在集群级别上移动此任务。其中一个原因是,我可以编排用户的访问,
浏览 0提问于2020-02-29得票数 1
1回答
转发到安全群集中服务的K8S端口
kubernetes、portforwarding
在过去的一年中,我们在K8S环境中工作,在这个环境中,每个用户都可以访问所有名称空间。但是,当我们在集群中引入新的应用程序时,重要的是只授予用户所需的访问权限。
我们很少有在名称空间中运行的服务,例如ABC。由于没有任何限制,用户可以通过端口转发服务并访问它。随着新的限制,他们现在不能访问这些服务。
有没有一种方法可以授予用户访问端口转发的权限,而不会影响安全性?
浏览 5提问于2020-11-18得票数 2
1回答
Azure RBAC和AKS未按预期工作
azure-aks、azure-rbac
我已经创建了一个AKS集群,启用了AKS管理的Azure和基于角色的访问控制(RBAC)。如果我试图通过使用包含在Admin组中的一个帐户来连接集群,那么一切都按其应有的方式工作。当我试图与一个不是Admin组成员的用户一起做这件事时,我遇到了一些困难。我所做的是:
创建了一个新用户
将Azure Kubernetes服务集群用户角色和Azure Kubernetes服务RBAC读取器分配给该用户。
执行以下命令: aks获取凭证--资源组RG1 --名称aksttest
然后执行以下命令: kubectl -n测试,得到以下错误:来自服务器的错误(禁止):禁止使用akst
浏览 1提问于2021-10-19得票数 3
2回答
如何创建Kubernetes角色,用户可以在其中创建他们可以执行任何操作的名称空间?
kubernetes、roles、role-base-authorization
我已经创建了一个角色,下面是角色的定义:
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: ${SERVICE_ACCOUNT_NAME}-full-access-role
namespace: ${NAMESPACE}
rules:
- apiGroups: ["", "extensions", "apps"]
resources: ["*"]
verbs: ["*"]
- apiGroups:
浏览 13提问于2019-10-11得票数 1
1回答
如何配置jenkins kubernetes插件访问远程GKE集群的权限
jenkins-plugins、google-kubernetes-engine、jenkins-kubernetes
我在GCE上设置了Jenkins,并从那里尝试访问GCE上的k8s集群。当我尝试测试插件上的连接时,我得到了未经授权的连接。 我已经开启了GKE API访问,在GKE上创建了服务账号,创建了角色和角色绑定。 在Jenkins上安装了kubernetes插件,并通过提供kubernetes url、证书和令牌对其进行了配置。我仍然得到以下异常- 预期到Kubernetes群集的is连接成功。 实际is -测试连接证书时出错: java.security.cert.CertificateException:无法解析证书: java.io.IOException:空输入(已禁用Https) 和 使
浏览 104提问于2019-10-16得票数 1
1回答
GKE:查看权限详情
kubernetes、google-cloud-platform、google-kubernetes-engine、kubernetes-security
我正在与GKE集群交互,并试图了解我的权限是什么
➢ kubectl get roles --all-namespaces
NAMESPACE NAME AGE
istio-system istio-ingressgateway-sds 38d
kube-public system:controller:bootstrap-signer 38d
kube-system cloud-provider
浏览 6提问于2019-09-02得票数 0
1回答
一个Kubernetes仪表板用于多个选定的命名空间
kubernetes
我们的集群中有多个名称空间。管理员可以通过ClusterRole访问所有的命名空间。但是,用户将被授予访问相应名称空间的权限。
假设用户A被授予访问名称空间B、C和D的权限。
因此,用户A使用服务帐户和RoleBinding在命名空间B中部署仪表板。用户将能够看到名称空间B中的所有应用程序。但是,我们如何授予对此仪表板的访问权限,以便一个仪表板列出3个名称空间以查看相应的应用程序?
浏览 0提问于2018-06-17得票数 1
1回答
Azure RBAC无法创建群集角色
azure、azure-aks、rbac
我有一个AKS集群,支持azure rbac和AAD。我正在尝试创建一个具有最小权限的自定义角色,以便能够创建集群角色,但如果不在自定义角色中设置Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/clusterroles/escalate/action,则无法使其工作。我应该使用哪些/哪些其他权限的原因是什么,这样我就不必使用escalate了。
浏览 28提问于2021-09-21得票数 0
1回答
Kubernetes -在kube dns中向匿名用户授予RBAC访问权限
kubernetes、kubectl、kube-dns
我设置了Kubernetes Cluster,其中包含一个主节点和一个工作节点。Kubectl cluster-info显示kubernetes-master和kube-dns运行成功。 我正在尝试访问下面的URL,因为它是我的组织内部的,所以外部世界看不到下面的URL。 https://10.118.3.22:6443/api/v1/namespaces/kube-system/services/kube-dns:dns/proxy 但是当我访问它的时候,我得到了下面的错误- {
"kind": "Status",
"apiVersion&#
浏览 29提问于2019-01-12得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
