k8s-认证授权 14

Kubernetes的认证授权分为认证(鉴定用户身份)、授权(操作权限许可鉴别)、准入控制(资源对象操作时实现更精细的许可检查)三个阶段。

Authentication(认证)

认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再 进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式 。

Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和( Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在, 它只是形式上存在。

Authorization(授权)

必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒

绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、 Node。默认集群强制开启RBAC。

Admission Control(准入控制)

用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求 API资源对象进行修改和校验。

UserAccount与serviceaccount:

(1)用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。

(2)用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不 会做 namespace 隔离, 服务账户是 namespace 隔离的。

(3)通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉 及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。


认证

切换用户

由于默认用户没有任何权限,无法访问,需要进行授权

切回admin

RBAC(Role Based Access Control):基于角色访问控制授权。允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联;RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可;

RBAC包括四种类型:Role、ClusterRole、RoleBinding、ClusterRoleBinding。

控制器的概念:

组的概念:

切回到admin

回收

相关推荐
万里侯8 小时前
GitOps 漂移检测:集群里改了配置,Git 还以为一切正常
微服务·容器·k8s
AOwhisky11 小时前
Python 学习笔记(第三期)——流程控制:条件判断与循环结构
运维·笔记·python·学习·云原生·流程控制·循环
极客先躯12 小时前
高级java每日一道面试题-2026年03月30日-实战篇[Docker]-如何监控容器的网络流量?
java·运维·docker·容器·prometheus·高级面试
Waay13 小时前
Linux 三个核心环境变量配置文件、作用域、生效方式完整梳理
linux·运维·学习·云原生·容器
大E帝国子民114 小时前
Docker 部署 RocketMQ 5
docker·容器·rocketmq
SelectDB14 小时前
云数仓费钱?用 SelectDB Serverless 三步配出秒级弹性,最高降本 70%
数据库·云原生·数据分析
江湖有缘15 小时前
【保姆级教程】使用Docker Compose一键搭建Picsur私有图床服务
java·docker·容器
CHrisFC16 小时前
2026-07-15-csdn-硕晟LIMS微服务架构设计
微服务·云原生·架构
长不胖的路人甲17 小时前
微服务限流
微服务·云原生·架构
java_logo18 小时前
5 分钟共享打印机:用 Docker 一键部署 CUPS
运维·docker·容器·cups·网络打印机·共享打印机·docker部署cups