Kubernetes 鉴权 Authorization
2020-12-07 13:40:58 0 举报
Kubernetes 鉴权 RBAC
作者其他创作
大纲/内容
Kubernetes 1.5中引入,是现行版本中的默认授权标准
支持运行时调整,无需重启API Server
namespace 1
例如:ABAC基于属性的权限策略在修改了属性之后就需要进行重启才可以生效
namespace级别的对象
测试的时候才可能用到的
Kubernetes Cluster
授权策略
namespace 3
namespace 2
认证的过程只是确认对方是可信的,二者可以进行通信,但是还需要通过鉴权来确定请求方有哪些资源的请求权限。就好比:用户可以登录一个系统,但是他不可以对系统中的公共资源都进行编辑,这就是他的权限限制的原因。
资源:Pod、Deployment、Service、Node....
Normal Users
Kubernetes 授权策略:(通过APIServer 启动参数--authorization-mode 设置)1、AlwaysDeny:拒绝所有请求2、AlwaysAllow:接收所有请求3、ABAC:基于属性的访问控制,即使用用户配置的授权规则对用户进行匹配和控制4、Webhook:通过调用外部 REST 服务对用户进行授权5、RBAC:基于角色的访问控制,控制谁可以访问Kubernetes 集群,是现行最常用的方式
对集群中的资源和非资源均有完整的覆盖
Role: 定义了角色可以对资源的操作
老版本中的策略
定义动作 Verbs:GET、LIST、UPDATE
RoleBinding:提供了对指定namespace的访问权限
ClusterRole: 定义了角色可以对资源的操作
RBAC 基于角色的访问控制 Role-Based Access Control
定义资源 Nouns:Pods、Volumes....
为什么要鉴权
Role
由 API 对象完成,可以使用kubectl 或API操作
Cluster Role
ClusterRoleBinding:提供了对整个Kubernetes集群的访问权限
Admin
ClusterRoleBinding
定义动作 Verbs:get、list、edit
RoleBinding
非资源:资源的状态...
集群级别的对象
0 条评论
下一页