Kubernetes 使用 RBAC 进行权限管理实践

面试官:小伙子,你的数组去重方式惊艳到我了

前言

近年来,随着云原生技术的快速发展,Kubernetes 已成为云原生应用部署和管理的事实标准。而随着集群规模的扩大和业务复杂度的增加,如何对 Kubernetes 群集进行合理的权限管理变得尤为重要。Kubernetes 内建的 RBAC 权限控制机制为我们提供了一种强大灵活、社区完善、易于上手的权限管理方案,本文将详细介绍 Kubernetes 的 RBAC 机制及其实现方法,以及一些常见的实践经验。

RBAC 简介

RBAC(Role-Based Access Control)即基于角色的访问控制,是一种常用的访问控制方式,它将用户和权限之间的关系用角色进行管理,通过将不同的用户分配到不同的角色,从而实现对用户权限的控制。Kubernetes 的 RBAC 机制是基于 RBAC v1 API 来实现的,Kubernetes 集群中有两个核心的访问控制对象:Role 和 ClusterRole,以及两个核心的命名空间范围内的角色引用对象:RoleBinding 和 ClusterRoleBinding。

Role

Role 是针对单个命名空间的权限定义对象,即它只包含特定命名空间下的访问控制规则,它拥有的权限对象包括 Kubernetes 中定义的 Kinds(比如 Pods、Services、Endpoints、ConfigMaps 等)以及任何 CRD 自定义资源对象。Role 只能授予其所在的命名空间中的对应“Kinds”的权限,不包含任何跨命名空间的访问控制规则。

ClusterRole

ClusterRole 是针对整个集群的权限定义对象,它定义了跨命名空间级别的访问控制规则,可以授予用户对 Kinds 的集群范围内的权限,但不能授予额外的访问命名空间的权限。

RoleBinding

RoleBinding 是将某一 Role 授权给某个用户、组或者 ServiceAccount 的对象。它也仅限于单个命名空间内,即任何一个 RoleBinding 只能将 Role 授权给同一个命名空间内的用户、组或者 ServiceAccount。

ClusterRoleBinding

ClusterRoleBinding 是将某一 ClusterRole 授权给某个用户、组或者 ServiceAccount 的对象。与 RoleBinding 不同,ClusterRoleBinding 对象可以实现对集群多个命名空间的授权,即它授予的权限可以跨命名空间使用。

Kubernetes RBAC 实践案例

案例背景

在一个基于 Kubernetes 搭建的微服务系统中,我们需要为多个业务团队提供各自的访问权限,以确保系统的稳定运行和安全性。在此背景下,我们将使用 RBAC 机制来实现不同用户、组和 ServiceAccount 的访问权限管理。

案例实现

我们将按照以下步骤实现 RBAC 权限管理:

1、创建 Namespace 和 ServiceAccount

首先,我们需要创建一个 Namespace,以便为这个 Namespace 内的资源授权。

----- ---------
----------- --
---------
  ----- -------

同时,我们也需要创建一个 ServiceAccount,以便后续将授权绑定到这个 ServiceAccount 上。

----------- --
----- --------------
---------
  ----- -------
  ---------- -------

当 ServiceAccount 被创建后,Kubernetes 自动为它创建了一个名为 test-sa-token-xxxx 的 secret 对象,其中 xxxx 部分是一个随机码,这个 secret 用于存储访问令牌用于授权。

2、创建 ClusterRole 和 ClusterRoleBinding

现在我们需要创建一个 ClusterRole 来定义集群范围内的访问控制权限规则:

----- -----------
----------- ----------------------------
---------
  ----- -------
------
- ---------- ---- - -- -- ---- --- -
  ----------
  - ----
  ------
  - ---
  - -----
  - ----

在上面的示例中,我们创建了一个 ClusterRole,名为 test-cr,它的规则是:允许所有用户(不属于任何角色)在集群范围内对 Pods 进行 getwatchlist 操作。

接下来,我们需要将这个 ClusterRole 授权给 ServiceAccount,创建一个 ClusterRoleBinding,如下所示:

----- ------------------
----------- ----------------------------
---------
  ----- --------
---------
- ----- --------------
  ----- -------
  ---------- -------
--------
  ----- -----------
  ----- -------
  --------- -------------------------

在上面的示例中,我们创建了一个 ClusterRoleBinding,名为 test-crb,它将 test-cr 授权给 test-sa 这个 ServiceAccount。在这个 ServiceAccount 授权范围内,任何使用该 ServiceAccount 的 Pod 均有获取、观察和列出 Pod 对象的权限。

3、创建 Role 和 RoleBinding

在 Namespace 内,我们需要创建一个 Role 来定义 Namespace 范围内的访问控制权限规则:

----- ----
----------- ----------------------------
---------
  ----- ---------
  ---------- -------
------
- ---------- ---- - -- -- ---- --- -
  ----------
  - ----------
  ------
  - ---
  - -----
  - ----

在上面的示例中,我们创建了一个 Role,名为 test-role,它的规则是:允许所有用户(不属于任何角色)在 Namespace test-ns 范围内对 ConfigMaps 进行 getwatchlist 操作。

接下来,我们需要将这个 Role 授权给 ServiceAccount,创建一个 RoleBinding,如下所示:

----- -----------
----------- ----------------------------
---------
  ----- -----------------
  ---------- -------
---------
- ----- --------------
  ----- -------
  ---------- -------
--------
  ----- ----
  ----- ---------
  --------- -------------------------

在上面的示例中,我们创建了一个 RoleBinding,名为 test-role-binding,它授权 test-role 给 ServiceAccount test-sa 在命名空间 test-ns 范围内有效。

在以上步骤完成后,我们就实现了权限管理。现在我们可以创建一个使用 test-sa ServiceAccount 的 Pod,来测试权限是否生效:

----------- --
----- ---
---------
  ----- --------
  ---------- -------
-----
  ------------------- -------
  -----------
  - ----- --------------
    ------ -----
    ------
    - -------------- --

根据上面的定义,这个 Pod 将使用 test-sa ServiceAccount。

现在,我们可以登录到 Pod,查看 ConfigMaps,如下所示:

- ------- ---- --- -------- -- ------- --
- ---- ------------
- ------- ------ -- ------- ------- -- ----
- ---- -----------------------------------------------------------

---------------------------------------------------------------------------------------------------------------------------------------

我们可以通过以上命令查看到 ConfigMap 列表,证明已经成功实现权限管理。

结论

在本文中,我们详细介绍了 Kubernetes 的 RBAC 实现机制和权限管理的实践案例。合理的权限控制可以确保 Kubernetes 集群的稳定性和安全性,RBAC 机制为我们提供了一个良好的解决方案。在实践过程中,我们可以根据需求,选择不同的授权对象和权限申请方式来达到预期的目标。

来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/66f8015dc5c563ced5b80f96

阅读全文

猜你喜欢

  • Deno 应用中如何处理 XML 格式数据

    引言 Deno 是一个新兴的 JavaScript 运行时环境,它与 Node.js 类似,但具有许多 Node.js 中缺失的特性,例如 TypeScript 的原生支持、安全的模块加载等等。

    3 小时前
  • React 中的内联样式和外部样式表的区别

    React 是一种广泛使用的 JavaScript 库,用于开发用户界面。React 支持一种特殊的语法,称为 JSX,它使得将 HTML 和 JavaScript 混合使用变得更加简单和直观。

    3 小时前
  • MongoDB 中如何使用 $elemMatch 进行子文档匹配

    简介 在 MongoDB 中,文档可以包含子文档,也就是嵌套文档。如果我们需要在查询中匹配一个文档的子文档,就需要使用 $elemMatch 操作符。$elemMatch 操作符用于在嵌套数组中进行元...

    3 小时前
  • 响应式设计中低延时的图片加载技巧

    随着移动设备的普及,响应式设计已成为了现代网站开发的标配。在响应式设计中,图片的加载速度对用户体验至关重要。本文将介绍一些响应式图片加载的技巧,帮助您在低延时的情况下加载高质量的图片,提升用户体验。

    3 小时前
  • ECMAScript 2019: 新的 Function 特性

    ECMAScript 2019: 新的 Function 特性 ECMAScript 2019(ES2019)是 JavaScript 的最新标准,并且添加了一些新的 Function 特性。

    3 小时前
  • Kubernetes 使用 RBAC 进行权限管理实践

    前言 近年来,随着云原生技术的快速发展,Kubernetes 已成为云原生应用部署和管理的事实标准。而随着集群规模的扩大和业务复杂度的增加,如何对 Kubernetes 群集进行合理的权限管理变得尤为...

    3 小时前
  • 解决在 Express.js 应用程序中使用 MongoDB 时的问题

    解决在 Express.js 应用程序中使用 MongoDB 时的问题 本文将讲解在 Express.js 应用程序中使用 MongoDB 时可能遇到的问题,并给出解决方案。

    3 小时前
  • 如何在 Enzyme 中测试依赖 useContext 和 useReducer 实现的组件

    在 React 中使用 useContext 和 useReducer 处理状态管理逻辑已成为现代前端应用程序开发的一部分。然而,在测试这些组件时,可能会遇到一些挑战。

    3 小时前
  • 关于 Vue SPA 应用 SEO 的一些实践案例

    背景介绍 Vue SPA(Single-Page Application)应用是指通过使用 Vue.js 框架创建的单页 web 应用程序。由于它们通过将内容加载到一个页面上来提供更流畅的用户体验,S...

    3 小时前
  • Android 开发中 Material Design 的 CoordinatorLayout 实现方式

    在 Android 应用的开发中,Material Design 是不可缺少的一部分。Material Design 是一种设计和交互风格,它基于视觉层面的纸质布局与动态效果,而不是那些机械化而无情的...

    3 小时前
  • 如何使用 PM2 检查 Node.js 应用程序的健康状态?

    Node.js 是一种广泛使用的 JavaScript 运行时,可用于构建高性能的网络应用程序和服务。在生产环境中运行 Node.js 应用程序时,我们需要确保它们始终处于健康状态。

    4 小时前
  • ES7 实践:ESLint 常见的代码检查配置

    随着前端技术的不断进步,我们的代码变得越来越复杂,同时也越来越难以维护。为了避免代码质量问题,我们需要使用代码检查工具来确保我们的代码风格一致、符合规范,并且没有潜在的问题。

    4 小时前
  • 使用 Socket.io 实现在线人数统计功能的方法

    前言 在互联网应用中,实时在线人数统计是一个非常常见的需求。今天我们来介绍如何使用 Socket.io 实现在线人数统计功能。 Socket.io 是一个实时通讯库,它基于 WebSockets、HT...

    4 小时前
  • 如何使用 ES9 的 Proxy 实现数据双向绑定

    在前端开发中,数据双向绑定是一个很重要的概念。它可以使界面上的数据和数据模型保持同步,同时也可以提高开发效率和用户体验。在 ES9 中,引入了 Proxy 对象,可以方便地实现数据的双向绑定,本文将深...

    4 小时前
  • TypeScript 中如何优化大型项目的开发和维护?

    前言:TypeScript 是一种 JavaScript 的超集,提供了类型检查和强类型支持,这使得它在大型项目中的开发和维护方面有着巨大的优势。在本文中,将介绍如何在 TypeScript 中使用一...

    4 小时前
  • React 和 Redux 应用的最新工具和技术

    React 和 Redux 是现代 Web 开发的主要技术之一,无论是个人项目还是企业级应用都非常流行。随着技术的不断发展,React 和 Redux 生态系统也在不断演进,推出了许多新的工具和技术,...

    4 小时前
  • 响应式设计中优化文字排版技巧

    随着移动互联网的崛起,响应式设计已成为前端开发中不可或缺的一环。而在响应式设计中,优化文字排版是非常重要的一部分,因为不良的排版会影响用户的阅读体验。因此,本文将深入探讨在响应式设计中,如何优化文字排...

    4 小时前
  • CSS Grid 在实践过程中遇到的问题及解决方法

    CSS Grid 是一个用于布局的强大工具,它可以让开发者更方便地创建现代化且复杂的布局,但在实践过程中,我们可能会遇到一些问题。在这篇文章中,我们将会详细介绍 CSS Grid 在实践中可能会遇到的...

    4 小时前
  • 如何让旅游无障碍设计变成 “普及版”?

    旅游是一项休闲娱乐活动,对于许多人来说,它是一种放松身心的方式。但对于一些残障人士来说,旅游并不是一件容易的事情。缺少无障碍设计的旅游地点可能会阻止他们的参与。因此,在 web 设计中,无障碍设计是十...

    4 小时前
  • Enzyme:如何测试快速重连服务器的 React 组件

    在开发前端应用程序时,经常需要处理网络连接问题。服务器可能会经常出现故障或断开,导致应用程序不得不重新连接。这时候,我们就需要测试这种情况下的 React 组件是否能够快速重连服务器。

    4 小时前

相关推荐