当前位置：首页 > news >正文

网站建设价格西安室内设计网站排行榜前十名知乎

news 2026/6/10 19:27:19

网站建设价格西安,室内设计网站排行榜前十名知乎,网站开发与管理共多少页,贵州省贵州省建设厅网站目录一、Kubernetes 安全概述二、鉴权、授权和准入控制 2.1 鉴权(Authentication) 2.2 授权(Authorization) 2.3 准入控制三、基于角色的权限访问控制#xff1a; RBAC 四、案例#xff1a;为指定用户授权访问不同命名空间权限一、Kubernetes 安全概述 K8S安全控…目录一、Kubernetes 安全概述二、鉴权、授权和准入控制 2.1 鉴权(Authentication) 2.2 授权(Authorization) 2.3 准入控制三、基于角色的权限访问控制 RBAC 四、案例为指定用户授权访问不同命名空间权限一、Kubernetes 安全概述 K8S安全控制框架主要由下面3个阶段进行控制每一个阶段都支持插件方式通过API Server配置来启用插件。 1. Authentication (鉴权) 2. Authorization (授权) 3. Admission Control (准入控制) 二、鉴权、授权和准入控制 2.1 鉴权(Authentication) 客户端要想访问K8s集群API Server一般需要证书、 Token或者用户名密码如果Pod访问需要ServiceAccount 三种客户端身份认证 • HTTPS 证书认证基于CA证书签名的数字证书认证 • HTTP Token认证通过一个Token来识别用户 • HTTP Base认证用户名密码的方式认证 2.2 授权(Authorization) K8s目前支持多种授权策略目前企业主要使用RBAC (Role-Based Access Control基于角色的访问控制)完成授权工作。 RBAC根据API请求属性决定允许还是拒绝。比较常见的授权维度 • user用户名 • group用户分组 • 资源例如pod、 deployment • 资源操作方法 get list create update patch watch delete • 命名空间 • API组 2.3 准入控制 Adminssion Control实际上是一个准入控制器插件列表发送到API Server的请求都需要经过这个列表中的每个准入控制器插件的检查检查不通过则拒绝请求。三、基于角色的权限访问控制 RBAC RBAC (Role-Based Access Control基于角色的访问控制)允许通过Kubernetes API动态配置策略。角色 • Role授权特定命名空间的访问权限 • ClusterRole授权所有命名空间的访问权限角色绑定 • RoleBinding将角色绑定到主体(即subject) • ClusterRoleBinding将集群角色绑定到主体主体(subject) • User用户 • Group用户组 • ServiceAccount服务账号四、案例为指定用户授权访问不同命名空间权限示例为kangll用户授权default命名空间Pod读取权限 1. 用K8S CA签发客户端证书 2. 生成kubeconfig授权文件 3. 创建RBAC权限策略集群信息角色 IP 组件 k8s-master1 192.168.2.119 apiServer , controller, schedule, etcd k8s-node1 192.168.2.118 kubelet , kube-proxy, docker ,etcd k8s-node2 192.168.2.210 kubelet , kube-proxy, docker ,etcd 安装cfssl 工具用于生成证书 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64 wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64 chmod x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64 mv cfssl_linux-amd64 /usr/local/bin/cfssl mv cfssljson_linux-amd64 /usr/local/bin/cfssljson mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfochmod x /usr/local/bin/cfssl chmod x /usr/local/bin/cfssljson chmod x /usr/bin/cfssl-certinfo 运行如下命令生成证书 cat ca-config.json EOF {signing: {default: {expiry: 87600h},profiles: {kubernetes: {usages: [signing,key encipherment,server auth,client auth],expiry: 87600h}}} } EOFcat kangll-csr.json EOF {CN: kangll,hosts: [],key: {algo: rsa,size: 2048},names: [{C: CN,ST: BeiJing,L: BeiJing,O: k8s,OU: System}] } EOFcfssl gencert -ca/etc/kubernetes/pki/ca.crt -ca-key/etc/kubernetes/pki/ca.key -configca-config.json -profilekubernetes kangll-csr.json | cfssljson -bare kangll如下图生成kubeconfig授权文件运行如下命令 kubectl config set-cluster kubernetes \--certificate-authority/etc/kubernetes/pki/ca.crt \--embed-certstrue \--serverhttps://192.168.2.119:6443 \--kubeconfigkangll.kubeconfig# 设置客户端认证 kubectl config set-credentials kangll \--client-keykangll-key.pem \--client-certificatekangll.pem \--embed-certstrue \--kubeconfigkangll.kubeconfig# 设置默认上下文 kubectl config set-context kubernetes \--clusterkubernetes \--userkangll \--kubeconfigkangll.kubeconfig# 设置当前使用配置 kubectl config use-context kubernetes --kubeconfigkangll.kubeconfig 运行rbac.yaml 创建RBAC权限策略运行rbac.yaml 创建RBAC权限策略 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata:namespace: defaultname: pod-reader rules: - apiGroups: []resources: [pods]verbs: [get, watch, list]---kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata:name: read-podsnamespace: default subjects: - kind: Username: kangllapiGroup: rbac.authorization.k8s.io roleRef:kind: Rolename: pod-readerapiGroup: rbac.authorization.k8s.io kangll用户成功的读取 pod 信息没有delete pod 权限报错感谢点赞和关注

查看全文

http://www.w-s-a.com/news/674849/