国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

(八)k8s實(shí)戰(zhàn)-身份認(rèn)證與權(quán)限

2年前作者:青衫落拓客分類:Toy博客閱讀(19)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了(八)k8s實(shí)戰(zhàn)-身份認(rèn)證與權(quán)限。希望對大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

一、認(rèn)證

  1. User Accounts
  2. Service Accounts

Service Account 自動(dòng)化:

  • Service Account Admission Controller
  • Token Controller
  • Service Account Controller

1、Service Account Admission Controller

通過 Admission Controller 插件來實(shí)現(xiàn)對 pod 修改,它是 apiserver 的一部分。創(chuàng)建或更新 pod 時(shí)會同步進(jìn)行修改 pod。當(dāng)插件處于激活狀態(tài)(在大多數(shù)發(fā)行版中都默認(rèn)情況)創(chuàng)建或修改 pod 時(shí),會按以下操作執(zhí)行:
1、如果 pod 沒有設(shè)置 ServiceAccount,則將 ServiceAccount 設(shè)置為 default。
2、確保 pod 引用的 ServiceAccount 存在,否則將會拒絕請求。
3、如果 pod 不包含任何 ImagePullSecrets,則將ServiceAccount 的 ImagePullSecrets 會添加到 pod 中。
4、為包含 API 訪問的 Token 的 pod 添加了一個(gè) volume。
5、把 volumeSource 添加到安裝在 pod 的每個(gè)容器中,掛載在 /var/run/secrets/kubernetes.io/serviceaccount。

2、Token Controller

TokenController 作為 controller-manager 的一部分運(yùn)行。異步行為:

  • 觀察 serviceAccount 的創(chuàng)建,并創(chuàng)建一個(gè)相應(yīng)的 Secret 來允許 API 訪問。
  • 觀察 serviceAccount 的刪除,并刪除所有相應(yīng)的ServiceAccountToken Secret
  • 觀察 secret 添加,并確保關(guān)聯(lián)的 ServiceAccount 存在,并在需要時(shí)向 secret 中添加一個(gè) Token。
  • 觀察 secret 刪除,并在需要時(shí)對應(yīng) ServiceAccount 的關(guān)聯(lián)

3、Service Account Controller

Service Account Controller 在 namespaces 里管理ServiceAccount,并確保每個(gè)有效的 namespaces 中都存在一個(gè)名為 “default” 的 ServiceAccount。

二、授權(quán)(RBAC)

類別:

  1. Role
  2. ClusterRole
  3. RoleBinding
  4. ClusterRoleBinding

1、Role

代表一個(gè)角色,會包含一組權(quán)限,沒有拒絕規(guī)則,只是附加允許。它是 Namespace 級別的資源,只能作用與 Namespace 之內(nèi)。

# 查看已有的角色信息
kubectl get role -n ingress-nginx -oyaml

配置文件

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  labels:
    app.kubernetes.io/name: ingress-nginx
    app.kubernetes.io/part-of: ingress-nginx
  name: nginx-ingress
  namespace: ingress-nginx
roles:
- apiGroups:
  - ""
  resources:
  - configmaps
  - pods
  - secrets
  - namespaces
  verbs:
  - get
- apiGroups:
  - ""
  resourceNames:
  - ingress-controller-label-nginx
  resources:
  - configmaps
  verbs:
  - get
  - update
- apiGroups:
  - ""
  resources:
  - configmaps
  verbs:
  - create

2、ClusterRole

功能與 Role 一樣,區(qū)別是資源類型為集群類型,而 Role 只在 Namespace

# 查看某個(gè)集群角色的信息
kubectl get clusterrole view -oyaml

3、RoleBinding

Role 或 ClusterRole 只是用于制定權(quán)限集合,具體作用與什么對象上,需要使用 RoleBinding 來進(jìn)行綁定。

作用于 Namespace 內(nèi),可以將 Role 或 ClusterRole 綁定到 User、Group、Service Account 上。

# 查看 rolebinding 信息
kubectl get rolebinding --all-namespaces

# 查看指定 rolebinding 的配置信息
kubectl get rolebinding <role_binding_name> --all-namespaces -oyaml

配置文件

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  ......
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name nginx-ingress-role
subjects:
- kind: ServiceAccount
  name: nginx-ingress-serviceaccount
  namespace: ingress-nginx

4、ClusterRoleBinding

與 RoleBinding 相同,但是作用于集群之上,可以綁定到該集群下的任意 User、Group 或 Service Account文章來源地址http://www.zghlxwxcb.cn/news/detail-681033.html

到了這里,關(guān)于(八)k8s實(shí)戰(zhàn)-身份認(rèn)證與權(quán)限的文章就介紹完了。如果您還想了解更多內(nèi)容,請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 3-2. SpringBoot項(xiàng)目集成【用戶身份認(rèn)證】實(shí)戰(zhàn) 【實(shí)戰(zhàn)核心篇】基于JWT生成和校驗(yàn)Token

    3-2. SpringBoot項(xiàng)目集成【用戶身份認(rèn)證】實(shí)戰(zhàn) 【實(shí)戰(zhàn)核心篇】基于JWT生成和校驗(yàn)Token

    書接上文 技術(shù)選型篇,我們做了【用戶身份認(rèn)證】的技術(shù)選型說明,對基于 Session、Token、JWT 的方案進(jìn)行了詳細(xì)的對比分析,詳細(xì)說明了它們都是什么和各自的優(yōu)缺點(diǎn)!這些是實(shí)戰(zhàn)的基礎(chǔ),還沒看過的同學(xué),建議先看上文。最終采用的是目前流行的 基于JWT的Token用戶身份認(rèn)證

    2023年04月08日
    瀏覽(27)
  • Kubernetes(k8s)實(shí)戰(zhàn):使用k8s+jenkins實(shí)現(xiàn)CICD

    Kubernetes(k8s)實(shí)戰(zhàn):使用k8s+jenkins實(shí)現(xiàn)CICD

    CIDI(Continuous Integration,Continuous Delivery Deployment),持續(xù)集成,持續(xù)部署,持續(xù)發(fā)布。 也就是說,在本地開發(fā)完代碼之后,push到遠(yuǎn)程倉庫,然后代碼打包、部署的這個(gè)過程完全是自動(dòng)化完成的。 但是我們不要進(jìn)入一個(gè)誤區(qū),CICD并不意味著一定就是這一套流程,只要實(shí)現(xiàn)了代

    2024年02月12日
    瀏覽(31)
  • 【DevOps基礎(chǔ)篇之k8s】如何通過Kubernetes CKA認(rèn)證考試

    【DevOps基礎(chǔ)篇之k8s】如何通過Kubernetes CKA認(rèn)證考試

    推薦超級課程: Docker快速入門到精通 Kubernetes入門到大師通關(guān)課 這些是我在準(zhǔn)備CK

    2024年03月15日
    瀏覽(26)
  • Kubernetes(k8s)實(shí)戰(zhàn):深入詳解Volume,詳解k8s文件同步存儲

    Kubernetes(k8s)實(shí)戰(zhàn):深入詳解Volume,詳解k8s文件同步存儲

    Volume官網(wǎng):https://kubernetes.io/docs/concepts/storage/volumes/ On-disk files in a Container are ephemeral, which presents some problems for non-trivial applications when running in Containers. First, when a Container crashes, kubelet will restart it, but the files will be lost - the Container starts with a clean state. Second, when running Containers to

    2024年02月13日
    瀏覽(21)
  • Kubernetes、k8s從入門到實(shí)戰(zhàn)

    Kubernetes、k8s從入門到實(shí)戰(zhàn)

    本文章用到k8s安裝包及工具文件鏈接:https://pan.baidu.com/s/1gYU9xxwxI9cXfJ1IJGQjwg?pwd=ye11 提取碼:ye11 我們對于云計(jì)算的概念,維基百科有以下定義: Cloud computing is a new form of Internet-based computing that provides shared computer processing resources and data to computers and other devices on demand. 云計(jì)算就是

    2024年01月19日
    瀏覽(65)

  • 開放平臺實(shí)現(xiàn)安全的身份認(rèn)證與授權(quán)原理與實(shí)戰(zhàn):學(xué)習(xí)OAuth2.0之PKCE

    隨著互聯(lián)網(wǎng)的不斷發(fā)展,我們的生活中越來越多的服務(wù)都需要我們的身份認(rèn)證和授權(quán)。例如,我們在使用某些網(wǎng)站或應(yīng)用程序時(shí),需要通過賬號和密碼進(jìn)行身份認(rèn)證,以便于保護(hù)我們的個(gè)人信息和數(shù)據(jù)。同時(shí),當(dāng)我們使用某些第三方應(yīng)用程序時(shí),這些應(yīng)用程序需要我們授權(quán)訪

    2024年04月16日
    瀏覽(25)
  • 3-1. SpringBoot項(xiàng)目集成【用戶身份認(rèn)證】實(shí)戰(zhàn) 【技術(shù)選型篇】基于Session、Token、JWT怎么選?

    3-1. SpringBoot項(xiàng)目集成【用戶身份認(rèn)證】實(shí)戰(zhàn) 【技術(shù)選型篇】基于Session、Token、JWT怎么選?

    通過第二章2-2. SpringBoot API開發(fā)詳解 --SpringMVC注解+封裝結(jié)果+支持跨域+打包,我們實(shí)現(xiàn)了基于SpringBoot項(xiàng)目的 API接口開發(fā) ,并實(shí)現(xiàn) API結(jié)果統(tǒng)一封裝、支持跨域請求 等等功能,接下來開始第三章,主要做用戶身份認(rèn)證,主要實(shí)現(xiàn)一套 統(tǒng)一鑒權(quán)的用戶身份認(rèn)證的機(jī)制 。 我已經(jīng)提

    2024年01月22日
    瀏覽(26)

  • 開放平臺實(shí)現(xiàn)安全的身份認(rèn)證與授權(quán)原理與實(shí)戰(zhàn):整理OAuth2.0各種開發(fā)指南

    OAuth 2.0 是一種基于標(biāo)準(zhǔn) HTTP 的身份驗(yàn)證和授權(quán)機(jī)制,它允許用戶授予第三方應(yīng)用程序訪問他們在其他服務(wù)(如社交網(wǎng)絡(luò)、電子郵件服務(wù)器或云存儲服務(wù))的數(shù)據(jù)。OAuth 2.0 的目標(biāo)是提供一種簡化的方法,使得用戶可以安全地授予第三方應(yīng)用程序訪問他們的數(shù)據(jù),而無需將他們的密

    2024年04月27日
    瀏覽(21)

  • Kubernetes實(shí)戰(zhàn)(十六)-k8s節(jié)點(diǎn)打標(biāo)簽

    pod可以根據(jù)調(diào)度策略讓pod調(diào)度到想要的節(jié)點(diǎn)上運(yùn)行,或者不在某節(jié)點(diǎn)運(yùn)行。 3.1.1 生成deployment文件 3.1.2 執(zhí)行生成pod? 3.1.3 查看結(jié)果? 遷移過程相當(dāng)于刪除當(dāng)前節(jié)點(diǎn)pod,再在新node上生成pod,生產(chǎn)環(huán)境操作時(shí)需要謹(jǐn)慎。 3.2.1 調(diào)整pod運(yùn)行標(biāo)簽 3.2.2 查看結(jié)果? ?pod已經(jīng)切換至ops-wor

    2024年01月16日
    瀏覽(42)
  • Kubernetes實(shí)戰(zhàn)(九)-kubeadm安裝k8s集群

    Kubernetes實(shí)戰(zhàn)(九)-kubeadm安裝k8s集群

    ip hostname 10.220.43.203 ops-master-1 10.220.43.204 ops-worker-1 10.220.43.205 ops-worker-2 master/與worker主機(jī)均需要設(shè)置。 master/worker均安裝 docker二進(jìn)制安裝參考:docker部署及常用命令-CSDN博客? 為kubernetes添加國內(nèi)阿里云YUM軟件源 。 如果k8s版本低于1.24版,可以忽略此步驟。 由于1.24版本不能直接

    2024年02月04日
    瀏覽(50)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包