資訊專欄INFORMATION COLUMN
摘要:在中使用驗證使用身份驗證策略來認證用戶的。審閱狀態包含名稱和組等用戶信息。中的授權模塊稍后將以此確定該用戶的訪問級別。認證請求認證服務決定該用戶是否通過認證,并向發送響應。在對的請求成功進行認證之后,必須授權該請求。
Rancher Kubernetes擁有RBAC(基于角色的訪問控制)功能,此功能可以讓管理員配置不同的策略,允許或拒絕用戶和服務帳戶訪問Kubernetes API資源。
為了更好地理解RBAC功能是如何工作的,本文將闡明如何使用Kubernetes API進行身份認證,以及RBAC授權模塊如何與認證用戶協同工作。
在Rancher中使用KUBERNETES驗證Rancher使用Webhook Token身份驗證策略來認證用戶的bearer token。首先,用戶使用Rancher驗證通過Kubernetes > CLI選項卡獲得kube配置文件,這其中就包含bearer token。然后,kubectl借助此token和web hook遠程認證服務,用Kubernetes API對用戶進行身份認證:
當用戶嘗試使用bearer token對Kubernetes API進行認證時,認證webhook會與Rancher Kubernetes認證服務進行通信,并發送包含該token的身份認證審查對象。然后,Rancher Kubernetes認證服務將會發送一個檢查狀態,該狀態指定用戶是否經過身份認證。
審閱狀態包含名稱、uid和組等用戶信息。Kubernetes API中的授權模塊稍后將以此確定該用戶的訪問級別。
以下是Kubernetes發送給Rancher Kubernetes認證服務的認證請求示例。
認證請求:
Rancher Kubernetes認證服務決定該用戶是否通過認證,并向Kubernetes發送響應。
認證響應:
如您所見,由于環境所有者發送此請求,用戶在系統中被歸為system:masters組,該用戶組可以訪問Kubernetes集群中的所有資源:
集群角色“集群管理”資源允許訪問所有API組中的所有Kubernetes資源:
RBAC授權模塊對API的請求包含請求者的用戶名、請求的操作以及操作所影響的對象的信息。在對Kubernetes API的請求成功進行認證之后,必須授權該請求。
RBAC授權模塊定義了四個頂級對象,這四個對象控制授權用戶的授權決策:
角色
集群角色
角色綁定
集群角色綁定
角色和集群角色都標識了Kubernetes API資源的權限集。它們之間唯一的區別是:角色可以在命名空間中定義,而集群角色綁定則在集群范圍內定義。
角色綁定和集群角色綁定將定義的角色分配給用戶、組或服務帳戶。而它們可以通過在命名空間中進行角色綁定或在集群范圍內進行集群角色綁定來獲得授予權限。在下一節中我們將討論相關示例。
如何在Rancher中啟用Kubernetes RBAC功能要在Rancher中全新安裝Kubernetes來啟用RBAC功能,您可以編輯默認環境或創建新的環境模板。在Kubernetes環境選項中,您可以啟用RBAC,如果您已經啟動了Kubernetes基礎設施服務,則可以單擊“更新”以更新Kubernetes的配置選項。
RBAC示例如前一節所述,這些示例假設您已經啟用了RBAC功能的Kubernetes,并假設您已啟用Rancher的GitHub身份認證。
作為Kubernetes環境的所有者,如前所述,您可以訪問所有Kubernetes API,因為集群管理員角色是默認分配給環境所有者的。管理員用戶默認不會訪問任何API資源。
若您已將一些GitHub用戶和組添加為Kubernetes環境的成員,當你嘗試訪問Kubernetes API時,則會收到以下消息:
要跨所有Kubernetes集群啟用GitHub組織的訪問權限,請創建以下集群角色:
此角色定義了列表并獲得了對服務資源的訪問權限。此時, 集群角色不與任何用戶或組關聯, 因此以下步驟為創建集群角色綁定:
角色綁定指定了GitHub組織的“github_org:”組。這時您會發現,當您想將角色綁定應用于組時,每種認證類型都有專門的Rancher認證語法。有關更多詳細信息,可參閱Rancher文檔:
創建角色綁定后,您就可以列出屬于此GitHub組織的任何用戶的服務了:
關注微信公眾號(RancherLabs),獲取每日Docker&K8S技術干貨推送。
添加Rancher助手(RancherLabsChina)為好友,加入技術群,獲取免費技術支持,年末贏取Apple Watch、Beats耳機、機械鍵盤等重磅好禮。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/27140.html
摘要:在中使用驗證使用身份驗證策略來認證用戶的。審閱狀態包含名稱和組等用戶信息。中的授權模塊稍后將以此確定該用戶的訪問級別。認證請求認證服務決定該用戶是否通過認證,并向發送響應。在對的請求成功進行認證之后,必須授權該請求。 Rancher Kubernetes擁有RBAC(基于角色的訪問控制)功能,此功能可以讓管理員配置不同的策略,允許或拒絕用戶和服務帳戶訪問Kubernetes API資源...
摘要:全球范圍內的部署節點已超過個,付費客戶超過個。因此,我們決定重新設計,將過去大受用戶歡迎的用戶體驗即架構于之上,從而充分利用的強大力量。因此,很快成為啟動集群的最受歡迎的方式之一。年,的流行度在持續上升,且這一勢頭從未放緩。 經過數月的努力,我們終于發布了Rancher 2.0 Technology Preview,這對Rancher Labs而言也是歷史性的、值得銘記的一刻。 Ran...
摘要:全球范圍內的部署節點已超過個,付費客戶超過個。因此,我們決定重新設計,將過去大受用戶歡迎的用戶體驗即架構于之上,從而充分利用的強大力量。因此,很快成為啟動集群的最受歡迎的方式之一。年,的流行度在持續上升,且這一勢頭從未放緩。 經過數月的努力,我們終于發布了Rancher 2.0 Technology Preview,這對Rancher Labs而言也是歷史性的、值得銘記的一刻。 Ran...
摘要:里程碑更新支持添加自定義節點此次更新之前的版本只支持和,而如今的最新版本,用戶可以在創建集群時添加了自定義節點了。連接成功后,將按照用戶指定的角色所指示的方式為該節點安裝相應的組件。 Rancher是一個開源的全棧化企業級容器管理平臺,用戶在Rancher可視化界面上以點選的方式,即可一鍵完成所有容器基礎設施(網絡、存儲、負載均衡等)的對接與部署,確保容器在任何基礎架構上(公私有云、虛...
摘要:本文將介紹通過強身份驗證如何確保企業的集群免受外部攻擊。服務器雖然面向公開,但是受到證書身份驗證的保護。年年底被爆出的首個嚴重安全漏洞,就是由聯合創始人及首席架構師發現的。 毋庸置疑,K8s已經成為云容器編排系統的標準,但是,如果缺乏K8s環境相關的安全問題認識的話,會致使各種組件暴露在網絡集群內外的攻擊之下。本文將介紹通過強身份驗證如何確保企業的K8s集群免受外部攻擊。 showIm...
閱讀 2593·2023-04-25 20:50
閱讀 3946·2023-04-25 18:45
閱讀 2220·2021-11-17 17:00
閱讀 3330·2021-10-08 10:05
閱讀 3080·2019-08-30 15:55
閱讀 3495·2019-08-30 15:44
閱讀 2360·2019-08-29 13:51
閱讀 1118·2019-08-29 12:47
