Kubernetes身份认证和授权操作全攻略：上手操作Kubernetes授权_文化 & 方法_Rancher

【ArchSummit架构师峰会】探讨数据与人工智能相互驱动的关系>>> 了解详情 



 写点什么

这是本系列文章中的第三篇，前两篇文章分别介绍了Kubernetes访问控制以及身份认证。本文将通过上手实践的方式，带你理解 Kubernetes 授权这一概念。

在文章正式开始之前，我们先快速回顾一下我们实操过程中的环境和场景。我们正在处理生产环境中的集群，其中每个部分都与命名空间相关联。现在，组里新来了一位同事叫 Bob，我们在上篇教程中帮助 Bob 以 engineering 命名空间管理员的身份加入集群。并且他已经获得私钥以及签名证书来访问集群。

如果你还没有完成上述操作，请查看上篇教程，运行其中的命令以完成环境设置以及为 Bob 配置证书。

好，我们正式开始本篇教程。

现在我们要给 Bob 授权，以控制属于 engineering 命名空间的资源。

首先，我们要为 kubectl 创建一个上下文（context），方便它在不同的环境之间切换。

kubectl config set-context eng-context \  --cluster=minikube \  --namespace=engineering \  --user=bobContext "eng-context" created.

复制代码

上面的命令使用 Bob 在 minikube 集群中的凭据创建了一个指向 engineering 命名空间的新上下文。这会导致在〜/ .kube / config 文件中添加一个新的部分。

我们现在在 engineering 命名空间中创建一个简单的 pod：

apiVersion: v1kind: Podmetadata:  name: myapp  namespace: engineering  labels:    app: myappspec:  containers:  - name: myapp    image: busybox    command: ["/bin/sh", "-ec", "while :; do echo '.'; sleep 5 ; done"]

复制代码

 kubectl create -f myapp.yamlpod/myapp created

复制代码

kubectl get pods -n=engineeringNAME    READY   STATUS    RESTARTS   AGEmyapp   1/1     Running   0          89s

复制代码

虽然您可以作为集群管理员在工程命名空间中创建和操作 pod，但 Bob 甚至无法在同一名称空间中列出 pod。

kubectl get pods --namespace engineering --as bobError from server (Forbidden): pods is forbidden: User "bob" cannot list resource "pods" in API group "" in the namespace "engineering"

复制代码

为了使得 Bob 可以在 engineering 命名空间中访问资源，我们需要给他授权。这可以通过创建具有适当权限的角色然后将其绑定到用户 Bob 来完成。实质上，我们使用的是基于角色访问控制（RBAC）来允许 Bob 对 engineering 命名空间中的某些 Kubernetes 资源执行特定操作。

创建一个名为 eng-reader 的 Kubernetes 角色，允许其在 engineering 命名空间中列出 pod。

apiVersion: rbac.authorization.k8s.io/v1metadata:  namespace: engineering   name: eng-readerrules:- apiGroups: [""] # "" indicates the core API group  resources: ["pods", "services", "nodes"]  verbs: ["get", "watch", "list"]

复制代码

kubectl create -f role.yamlrole.rbac.authorization.k8s.io/eng-reader created

复制代码

kubectl get roles --namespace=engineeringNAME         AGEeng-reader   58s

复制代码

注意，这一角色目前和 Bob 毫无关联。我们需要通过角色绑定将角色中指定的权限应用于 Bob。

kind: RoleBindingapiVersion: rbac.authorization.k8s.io/v1metadata:  name: eng-read-access  namespace: engineeringsubjects:- kind: User  name: bob # Name is case sensitive  apiGroup: rbac.authorization.k8s.ioroleRef:  kind: Role #this must be Role or ClusterRole  name: eng-reader # this must match the name of the Role or ClusterRole you wish to bind to  apiGroup: rbac.authorization.k8s.io

复制代码

kubectl create -f role-binding.yamlrolebinding.rbac.authorization.k8s.io/eng-read-access created

复制代码

kubectl get rolebindings --namespace=engineeringNAME              AGEeng-read-access   31s

复制代码

让我们来检查一下 Bob 现在是否可以访问 pod。

kubectl get pods --namespace engineering --as bobNAME    READY   STATUS    RESTARTS   AGEmyapp   1/1     Running   0          11m

复制代码

既然他现在已经关联了 eng-reader 角色，那么他就获得了 pod 列表的权限。

此时，Bob 在集群中的访问权限依旧十分有限。他所能做的只是在 engineering 命名空间中列出 pod。这对 Bob 帮助不大。他想要检查集群中的节点数量，但是令他失望的是，他遇到了 forbidden error。

kubectl get nodes --as bobError from server (Forbidden): nodes is forbidden: User "bob" cannot list resource "nodes" in API group "" at the cluster scope

复制代码

在 Kubernetes 中角色和角色绑定既可以应用在命名空间层面也可以应用在集群层面。我们现在创建一个集群角色以及一个与 Bob 关联的角色绑定，以使他能够列出节点。

kind: ClusterRoleapiVersion: rbac.authorization.k8s.io/v1metadata:  # "namespace" omitted since ClusterRoles are not namespaced  name: cluster-node-readerrules:- apiGroups: [""]  resources: ["nodes"]  verbs: ["get", "watch", "list"]

复制代码

kubectl create -f cluster-role.yamlclusterrole.rbac.authorization.k8s.io/cluster-node-reader created

复制代码

kubectl get clusterroles cluster-node-readerNAME                  AGEcluster-node-reader   49s

复制代码

kind: ClusterRoleBindingapiVersion: rbac.authorization.k8s.io/v1metadata:  name: read-cluster-nodessubjects:- kind: User  name: bob # Name is case sensitive  apiGroup: rbac.authorization.k8s.ioroleRef:  kind: ClusterRole  name: cluster-node-reader  apiGroup: rbac.authorization.k8s.io

复制代码

kubectl create -f cluster-role-binding.yamlclusterrolebinding.rbac.authorization.k8s.io/read-cluster-nodes created

复制代码

kubectl get clusterrolebindings read-cluster-nodesNAME                 AGEread-cluster-nodes   35s

复制代码

现在，Bob 已经设置为可以在集群中列出节点。

kubectl get nodes --as bobNAME       STATUS   ROLES    AGE   VERSIONminikube   Ready    master   52m   v1.15.2

复制代码

本篇教程的目的是为了帮助你理解角色以及角色绑定如何在 Kubernetes 中工作的。在本系列下一篇文章中，我们将来看看 service account，保持关注哟~

发布

暂无评论

创作场景

Kubernetes 身份认证和授权操作全攻略：上手操作 Kubernetes 授权

评论

火山引擎DataLeap如何解决SLA治理难题（三）：平台架构与未来展望

防范直播网站源码搭建多重问题的背后重要功能_山东布谷科技创作

搜狗输入法双击输入框崩溃问题 | 京东云技术团队

CRM系统化整合从N-1做减法实践 | 京东物流技术团队

如何评价一种框架技术的好坏？

Ceph社区上游正式合入openEuler原生支持，并通过CI持续验证

功能更新｜Leangoo领歌敏捷工具支持SAFe大规模敏捷框架

三大升级！龙蜥正式推出首款全面拥抱智算的国产操作系统 Anolis OS 23

《让花掉的钱自己流回来》

Spring 中一个少见的引介增强 IntroductionAdvisor

IoT 场景下 InfluxDB 与 TDengine 的性能对比测试报告出炉！点击查看

Nautilus Chain 主网上线，Zepoch 持有者将获第三轮 POSE 空投

Excel 高阶使用（含 ChatGPT）与数据可视化

AIGC技术展望和机会 | 社区征文

Nautilus Chain 主网上线，Zepoch 持有者将获第三轮 POSE 空投

SAM&Stable-Diffusion集成进化！分割、生成一切！AI绘画新玩法

3步带你搞定华为云编译构建CodeArts Build “新手村任务”

技术速览｜Meta Llama 2 下一代开源大型语言模型

不止工具：音视频开发「利器」的新机遇

《Spring6核心源码解析》已完结，涵盖IOC容器、AOP切面、AOT预编译、SpringMVC，面试杠杠的！

用NineData三分钟搭建企业数据库平台，告别数据泄露与删库跑路

新一轮智能制造相关产业政策猜想

上海科技大学智能生活组齐聚合合信息，“沉浸式”体验人工智能产品

全国独家线下面授 | 上海大规模敏捷LeSS认证9月7-9日

Dxitco德西科跟单社区首创CHATGPT人工+AI双重大数据分析机制

使用 FOMEPay 充值 ChatGPT Plus 详细教程

关于云平台虚拟机核心组件 libvirt 热迁移流程及关键参数介绍 | 龙蜥技术

详解TCP网络协议栈的工作原理

智能运维进入6.0时代，CloudwiseGPT运维大语言模型强势来袭！

统一观测丨使用 Prometheus 监控 Cassandra 数据库最佳实践

在 Go 语言单元测试中如何解决 HTTP 网络依赖问题

创作场景

Kubernetes 身份认证和授权操作全攻略：上手操作 Kubernetes 授权

评论

更多内容推荐

推荐阅读

电子书

大厂实战PPT下载