国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

kubernetes Authorization

gggggggbong / 2819人閱讀

摘要:授權設置在中授權和認證是各自獨立的部分。授權操作適用于所有面向于的請求。授權將會針對每一個請求,根據訪問策略來檢查對比請求中的屬性信息比如用戶,資源,等。一個請求必須滿足指定的策略才能繼續執行。僅僅能處于下的。

kubernetes授權設置

在kubernetes中授權 和 認證是各自獨立的部分。認證部分參見 kubernetes認證。
授權操作適用于所有面向于kubernetes api的http請求。

授權 將會針對每一個請求,根據訪問策略來檢查對比請求中的屬性信息(比如 用戶,資源,namespace等)。一個API請求必須滿足指定的策略才能繼續執行。

有如下幾種策略方式:

--authorization_mode=AlwaysDeny

--authorization_mode=AlwaysAllow

--authorization_mode=ABAC

AlwaysDeny 阻止所有請求(通常用在測試環境);AlwaysAllow允許所有請求,如果不想用授權機制可以這么設置;ABAC允許用戶自定義的授權策略,ABAC的全寫為:Attribute-Based Access Control(面向屬性的授權控制)。

ABAC Mode 請求屬性

在授權設置中,可以用到的屬性設置有4個:

user ,已經被認證的用戶;

請求是否是只讀的;

被請求的資源是什么,只接受針對api endpoint的請求,如/api/v1/namespaces/default/pods,對于其他的endpoint,如/version,資源描述則為空string;

訪問對象的namespace,如果訪問的對象不支持namespace,則為空string

授權文件格式

設置參數為: --authorization_policy_file=SOME_FILENAME,這樣便開啟ABAC模式。
在指定的文件中,一行為一個json對象,這個json對象包含幾個map格式,這些map對象有如下:

user,string類型,對應--token_auth_file 中的user屬性;

readonly,bool類型,當設置為true時,只接受GET請求;

resource,string類型,請求URL中對應的資源類型,如pod;

namespace,string類型,對應namespace。

如果屬性沒有設置,那么默認值為0 或 false 或 空string。

授權算法

一個請求中設置的屬性決定了這個請求所能擁有的特性(好繞~)

當收到一個請求,就獲取了這個請求應該擁有的相應特性,如果某些屬性沒有設置,那么會默認設置為這個屬性類型對應的空值,如0,false,空string 等。

如果在授權文件中某個屬性被重復定義了,那么只要有一個滿足授權條件,那么這個請求就被認為是被授權的。

如果在授權條件中將user設置為空,那么不會對任何用戶做限制; 如果在授權條件中獎namespace設置為空,那么不對任何namespace做限制。

Examples

{"user":"alice"}:
用戶alice 可以做任何事!

{"user":"kubelet", "resource": "pods", "readonly": true}:
kubelet可以GET任何pod的信息。

{"user":"kubelet", "resource": "events"}:
kubelet可以對events做任何讀寫操作。

{"user":"bob", "resource": "pods", "readonly": true, "ns": "projectCaribou"}:
Bob 僅僅能GET處于namespace projectCaribou下的pod。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/32415.html

相關文章

  • 【容器云 UK8S】最佳實踐:權限管理之了解RBAC和權限管理實踐

    摘要:本文介紹了模型中四個最主要的對象,即,大致了解了的工作原理和使用方法,如果要更加深入地了解和掌握,可以查看官方文檔。只是這個不能復用到其他,一般只有在做精細化權限管理的時候,我們才會創建對象,比如一個只能查看名稱為的。了解RBAC簡介RBAC是一種基于角色來管理對計算機或網絡資源訪問策略的方法。我們知道,對K8S內所有API對象的操作都是通過訪問kube-apiserver來完成的,因此ku...

    Tecode 評論0 收藏0
  • kubernetes 實用 api list(長期補充)

    摘要:收集整理一些可能較常用的,結合的自動化系統以及監控可能會用到。注涉及到方法中的為發送的數據體。注意刪除,對應的并不會級聯刪除,需要在手動調用刪除對應的略不爽 收集整理一些可能較常用的api,結合kubernetes的自動化系統 以及 監控可能會用到。 注:涉及到POST方法中的json為發送的數據體。 get node curl -i -k -H Authorization: ...

    AbnerMing 評論0 收藏0
  • K8S的apiVersion該用哪個

    摘要:如版本之前版本到版本之間版本之后一各種的含義該軟件可能包含錯誤。啟用一個功能可能會導致隨時可能會丟棄對該功能的支持,恕不另行通知軟件經過很好的測試。啟用功能被認為是安全的。 本篇文章來自Terraform與Kubernetes中關于Deployment apps/v1的吐槽 Kubernetes的官方文檔中并沒有對apiVersion的詳細解釋,而且因為K8S本身版本也在快速迭代,有些...

    ziwenxie 評論0 收藏0
  • kubernetes安裝dashboard

    摘要:前言在安裝搭建的時候,往往會遇到各種各樣的問題,而安裝的展示組件則是困難中的困難,本人在實際搭建中則被整整卡住了天,和百度輪番搜索,各種技術博客和技術視頻反復研究才勉強搭建成功開始安裝在安裝好集群之后,確保集群各個節點都處于狀態的時候,就 前言 在安裝搭建k8s的時候,往往會遇到各種各樣的問題,而安裝k8s的web展示組件kubernetes-dashboard則是困難中的困難,本人在...

    Guakin_Huang 評論0 收藏0
  • kubernetes安裝dashboard

    摘要:前言在安裝搭建的時候,往往會遇到各種各樣的問題,而安裝的展示組件則是困難中的困難,本人在實際搭建中則被整整卡住了天,和百度輪番搜索,各種技術博客和技術視頻反復研究才勉強搭建成功開始安裝在安裝好集群之后,確保集群各個節點都處于狀態的時候,就 前言 在安裝搭建k8s的時候,往往會遇到各種各樣的問題,而安裝k8s的web展示組件kubernetes-dashboard則是困難中的困難,本人在...

    darryrzhong 評論0 收藏0

發表評論

0條評論

gggggggbong

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<