Rancher中的K8S認證和RBAC該如何理解，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

西工ssl適用于網站、小程序/APP、API接口等需要進行數據傳輸應用場景，ssl證書未來市場廣闊！成為成都創(chuàng)新互聯的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯系或者加微信：028-86922220（備注：SSL證書合作）期待與您的合作！

Rancher Kubernetes擁有RBAC（基于角色的訪問控制）功能，此功能可以讓管理員配置不同的策略，允許或拒絕用戶和服務帳戶訪問Kubernetes API資源。

為了更好地理解RBAC功能是如何工作的，本文將闡明如何使用Kubernetes API進行身份認證，以及RBAC授權模塊如何與認證用戶協同工作。

在Rancher中使用KUBERNETES驗證

Rancher使用Webhook Token身份驗證策略來認證用戶的bearer token。首先，用戶使用Rancher驗證通過Kubernetes > CLI選項卡獲得kube配置文件，這其中就包含bearer token。然后，kubectl借助此token和web hook遠程認證服務，用Kubernetes API對用戶進行身份認證:

當用戶嘗試使用bearer token對Kubernetes API進行認證時，認證webhook會與Rancher Kubernetes認證服務進行通信，并發(fā)送包含該token的身份認證審查對象。然后，Rancher Kubernetes認證服務將會發(fā)送一個檢查狀態(tài)，該狀態(tài)指定用戶是否經過身份認證。

審閱狀態(tài)包含名稱、uid和組等用戶信息。Kubernetes API中的授權模塊稍后將以此確定該用戶的訪問級別。

以下是Kubernetes發(fā)送給Rancher Kubernetes認證服務的認證請求示例。

認證請求：

Rancher Kubernetes認證服務決定該用戶是否通過認證，并向Kubernetes發(fā)送響應。

認證響應：

如您所見，由于環(huán)境所有者發(fā)送此請求，用戶在系統(tǒng)中被歸為system:masters組，該用戶組可以訪問Kubernetes集群中的所有資源：

集群角色“集群管理”資源允許訪問所有API組中的所有Kubernetes資源:

RBAC授權模塊

對API的請求包含請求者的用戶名、請求的操作以及操作所影響的對象的信息。在對Kubernetes API的請求成功進行認證之后，必須授權該請求。

RBAC授權模塊定義了四個頂級對象，這四個對象控制授權用戶的授權決策:

• 角色

• 集群角色

• 角色綁定

• 集群角色綁定

角色和集群角色都標識了Kubernetes API資源的權限集。它們之間唯一的區(qū)別是：角色可以在命名空間中定義，而集群角色綁定則在集群范圍內定義。

角色綁定和集群角色綁定將定義的角色分配給用戶、組或服務帳戶。而它們可以通過在命名空間中進行角色綁定或在集群范圍內進行集群角色綁定來獲得授予權限。在下一節(jié)中我們將討論相關示例。

如何在Rancher中啟用Kubernetes RBAC功能

要在Rancher中全新安裝Kubernetes來啟用RBAC功能，您可以編輯默認環(huán)境或創(chuàng)建新的環(huán)境模板。在Kubernetes環(huán)境選項中，您可以啟用RBAC，如果您已經啟動了Kubernetes基礎設施服務，則可以單擊“更新”以更新Kubernetes的配置選項。

RBAC示例

如前一節(jié)所述，這些示例假設您已經啟用了RBAC功能的Kubernetes，并假設您已啟用Rancher的GitHub身份認證。

作為Kubernetes環(huán)境的所有者，如前所述，您可以訪問所有Kubernetes API，因為集群管理員角色是默認分配給環(huán)境所有者的。管理員用戶默認不會訪問任何API資源。

若您已將一些GitHub用戶和組添加為Kubernetes環(huán)境的成員，當你嘗試訪問Kubernetes API時，則會收到以下消息：

要跨所有Kubernetes集群啟用GitHub組織的訪問權限，請創(chuàng)建以下集群角色：

此角色定義了列表并獲得了對服務資源的訪問權限。此時, 集群角色不與任何用戶或組關聯, 因此以下步驟為創(chuàng)建集群角色綁定:

角色綁定指定了GitHub組織的“github_org:”組。這時您會發(fā)現，當您想將角色綁定應用于組時，每種認證類型都有專門的Rancher認證語法。有關更多詳細信息，可參閱Rancher文檔：

創(chuàng)建角色綁定后，您就可以列出屬于此GitHub組織的任何用戶的服務了：

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注創(chuàng)新互聯行業(yè)資訊頻道，感謝您對創(chuàng)新互聯的支持。

當前標題：Rancher中的K8S認證和RBAC該如何理解
當前URL：http://aaarwkj.com/article20/iiopjo.html

成都網站建設公司_創(chuàng)新互聯，為您提供域名注冊、營銷型網站建設、云服務器、用戶體驗、微信小程序、網站設計

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯