Kubernetes 1.6+ RBAC:通过kubectl以角色集群管理员的身份获得访问权限
Kubernetes 1.6+ RBAC(Role-Based Access Control)是一种访问控制机制,通过定义角色和角色绑定来管理用户对Kubernetes集群资源的访问权限。RBAC可以确保只有经过授权的用户才能执行特定的操作,从而提高集群的安全性。
RBAC的主要概念包括角色(Role)、角色绑定(RoleBinding)和集群角色(ClusterRole)以及集群角色绑定(ClusterRoleBinding)。
- 角色(Role):角色是一组权限的集合,用于定义用户或用户组在命名空间内的操作权限。角色可以包含多个规则(Rule),每个规则定义了一组API资源和操作(如创建、读取、更新、删除)的权限。
- 角色绑定(RoleBinding):角色绑定将角色授予用户或用户组。通过角色绑定,可以将某个角色绑定到一个或多个用户或用户组,从而赋予他们相应的权限。
- 集群角色(ClusterRole):集群角色是一组权限的集合,用于定义用户或用户组在整个集群范围内的操作权限。与角色不同的是,集群角色不限定于某个命名空间,可以跨命名空间使用。
- 集群角色绑定(ClusterRoleBinding):集群角色绑定将集群角色授予用户或用户组。通过集群角色绑定,可以将某个集群角色绑定到一个或多个用户或用户组,从而赋予他们相应的权限。
通过kubectl以角色集群管理员的身份获得访问权限,可以按照以下步骤进行操作:
- 创建一个角色(Role)或集群角色(ClusterRole),定义所需的权限规则。
- 创建一个角色绑定(RoleBinding)或集群角色绑定(ClusterRoleBinding),将角色或集群角色与用户或用户组进行绑定。
- 使用kubectl命令以角色集群管理员的身份进行访问。例如,可以使用以下命令列出所有的Pod:
kubectl get pods
注意:以上命令需要在已经配置好RBAC的Kubernetes集群中执行。
Kubernetes官方提供了详细的RBAC文档,可以参考以下链接获取更多信息和示例:
相关·内容
1回答
IAM和RBAC在Google云容器引擎(GKE)上的冲突
kubernetes、google-compute-engine、google-kubernetes-engine、google-iam、kubernetes-security
上下文
管理员会邀请一个新用户(使用他们的google帐户/登录)并为他们指定一个角色。下面的示例角色是“”,它将允许用户访问kubernetes集群并运行所有“视图”操作。然后,用户可以使用kubectl访问集群</
浏览 0提问于2017-08-29得票数 7
0回答
1.6+看到了围绕基于角色的访问控制和基于角色的访问控制的许多变化。然而,有点奇怪的是,在默认情况下不能像以前一样访问仪表板等。访问将导致
User "system:anonymous" cannot proxy services in the namespace "kube-system".: "No policy matched上的</e
浏览 5提问于2017-06-12得票数 0
回答已采纳
1回答
如何在aws sso with azure ad中配置EKS的只读访问权限和管理员访问权限?
amazon-web-services、azure-active-directory、single-sign-on、amazon-eks
我要将AWS SSO配置为使用Azure AD访问EKS。但是,我希望有两种访问类型,即只读和管理员。
浏览 45提问于2021-07-14得票数 0
3回答
Kubernetes python客户端:身份验证问题
kubernetes、google-kubernetes-engine、kubernetes-python-client
我们使用kubernetes python client (4.0.0)结合google的kubernetes引擎(master +nodepool运行k8s 1.8.4)来定期调度kubernetes身份验证通过默认的gcp身份验证提供程序进行,我通过在调度程序上手动运行kubectl container cluster get-credentials获得了该提供程序的初始<em
浏览 1提问于2018-01-08得票数 10
回答已采纳
1回答
Kubernetes:我们如何列出在N天内修改的特定命名空间中的所有对象?
kubernetes、kubectl
我们有多个人(拥有管理员权限)在kubernetes集群中执行部署。我们发现很难管理谁修改了哪个对象。 我们可以通过角色和角色绑定使用RBAC来控制访问和权限。我们计划为不同的组实现定义良好的角色和角色绑定。 我们还希望列出在N天内修改的特定名称空间中的所有对象。有没有使用kubectl显示对
浏览 12提问于2019-09-10得票数 2
1回答
GKE:查看权限详情
kubernetes、google-cloud-platform、google-kubernetes-engine、kubernetes-security
我正在与GKE集群交互,并试图了解我的权限是什么NAMESPACE NAME38d但是,我没有看到任何与我相关的角色我如何与k8s集群交互?
我怎样才能看到whoami,我的权限是什么?
浏览 6提问于2019-09-02得票数 0
3回答
kubectl相关的角色和角色绑定是什么?
kubernetes、kubectl
我试图了解kubectl是如何获得运行命令的权限的。我知道所有与库伯奈特星系团的相互作用都是通过库伯-阿皮瑟弗进行的。因此,当我们从主节点运行kubectl命令(例如kubectl get pods )时,请求将通过kube进行。
apiserver执行身份验证和授权,并提供结果。与任何其他用户或资源一样,kubectl也应该与一个角色和
浏览 0提问于2020-04-11得票数 1
回答已采纳
2回答
Kubernetes仪表板,CrashLoopBackOff,用户不在名称空间"kube-system“中
kubernetes、rbac
我在试着运行Kubernetes仪表盘。我遵循了中的步骤。列出kube-系统吊舱,我看到:kubernetes-dashboard-head-7478c547df-8bmxf 0/1 CrashLoopBackOff在日志中,它似乎已经崩溃,因为:2019
浏览 1提问于2019-02-26得票数 0
1回答
EKS还需要aws认证器吗?
kubernetes、amazon-eks
我通过控制台创建了一个集群(eks.3),然后使用aws eks update-config生成kubeconfig配置。我立即可以通过kubectl访问集群,但是EKS用户指南谈到aws身份验证器,好像它是必需的。还需要这个吗?如果不是,在集群创建之后,身份验证是如何进行的?
浏览 0提问于2020-11-24得票数 0
回答已采纳
2回答
如何与非原始创建者的用户一起管理EKS集群?
amazon-web-services、kubernetes、kubectl、amazon-eks
is集群有一个奇怪的属性,就是
我有一个EKS集群。最初创建它的用户是短暂的(我
浏览 6提问于2020-04-29得票数 1
1回答
部署cockroachdb client-secure时出现问题
kubernetes、deployment、cockroachdb
我正在遵循这个helm + secure - guide:
它看起来是这样的:$ helm list --namespace=thesis-crdb
NAME NAMESPACE:38:52.8102378 +0100 CET deployed cockroachdb-5.0.4
浏览 1提问于2021-02-01得票数 1
1回答
Kubernetes 1.8仪表板配置失败,错误为“rbac.Authization.k8s.io/v1”版本注册“无类型”角色
kubernetes、kubectl
我对kubernetes仪表板安装有异议,感谢您的评论和解决方案。错误:无法解码"":没有为“rbac.Authization.k8s.io/v1”无法解码“”的版本注册任何种类的“角色”:没有为“rbac.Authization.k8s.io/v1”版本“rbac.Authizationk8s.io/v1”注册"RoleBinding“的版本:”app/v1bet
浏览 5提问于2018-01-09得票数 1
回答已采纳
2回答
运行kubeadm重置后的问题
kubernetes、kubectl
我对kubeadm init有问题,所以我运行了kubeadm reset,然后运行了kubeadm init,然后手边的问题就消失了,但是现在我有了另一个问题,那就是当我运行kubectl get all时,我得到了以下响应:service/kubernetes ClusterIP 10.96.0.1 <noneabc-server.localdomain" cannot list resource "cronj
浏览 4提问于2020-04-07得票数 2
1回答
在Kubernetes证书签名请求中有哪些组?
ssl、kubernetes、x509
在用户的证书签名请求API对象中,必须指定组。request: someCertFile
我知道集群中的一些证书,例如kubelets,必须使用这个组来区分它们在集群中的角色。我在这个问题上发现的唯一一件事是在k8s文档中简短地提到:https://kubernetes.io/d
浏览 0提问于2022-09-13得票数 0
2回答
基于对象过滤的kubernetes资源级RBAC
kubernetes、rbac
我正在为k8s自定义对象做一些资源级别的RBAC,并且发现很难使用本机k8s调用获得筛选资源NAME AGE我已经显式地指定了对象名,以获得用户身份验证对象的</
浏览 7提问于2019-12-23得票数 1
1回答
使用无效Azure Active访问令牌的Kubernetes吊舱
azure、kubernetes、permissions、azure-active-directory、access-token
当将新作业和服务部署到Azure Kubernetes Service集群时,pods无法使用所有可用权限请求有效的AAD访问令牌。如果在同一天、部署之前或之后添加了新的权限,则令牌仍然不会提取它们。令人惊讶的是,2/3豆荚再次以正确的权限运行,而最后一个却没有运行。
这些命令在将权限添加到组后一个多小时后运行。令牌的有效性不断变化,这意味着豆荚正在请求
浏览 8提问于2021-12-22得票数 0
1回答
AWS角色和用户没有任何策略,为什么我还可以访问K8s集群?
amazon-web-services、kubernetes、amazon-eks
我的问题是:我没有任何许可,为什么我可以访问K8s?[vagrant@localhost ~]$ kubectl get deployment --namespace=development - --role command: aws
以下是我的角色</e
浏览 4提问于2020-08-04得票数 1
回答已采纳
1回答
将Helm 3安装到特定命名空间的Kubernetes权限
kubernetes、permissions、continuous-integration
我正在尝试设置一个用户,该用户将拥有使用Helm3安装到特定名称空间的权限。(对于我的CI/CD系统。) 例如,如果用户尝试运行 使用 然后它就可以正常工作了。但如果他们尝试 它将失败。创建角色时,您必须选择 和 ..。我看到一个资源叫做 ,但我读到也需要秘密访问。我做了一些谷歌搜索,但大多数点击量都是关于配置Helm 2(使用tiller)。使用Helm 3安装所需的最低Kubernetes权限是多少?
浏览 128提问于2021-02-17得票数 0
回答已采纳
2回答
无意中删除了管理集群角色,无法访问群集资源
kubernetes
我通过kubectl删除了集群管理角色,使用:不确定我所期望的是什么,但现在我无法从我的帐户访问集群。任何使用kubectl获取或更改资源的尝试都会返回一个403,禁止。我可以做些什么来恢复这个更改,而不用吹走集群并创建一个新的集群呢?我在数字海洋上有一个管理<e
浏览 4提问于2021-12-29得票数 3
回答已采纳
2回答
授予AWS帐户的所有用户访问EKS集群的权限
amazon-web-services、amazon-eks
我已经创建了一个EKS集群。目前,只有我可以通过kubectl访问它。我想让我所有的大学都能访问它。我们所有的用户都在同一个AWS账户中。
如果我正确理解了上的文档,我必须单独添加每个用户。有没有更简单的方法?
浏览 0提问于2020-11-02得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
活动推荐
腾讯云开发者
