默认情况下,Kubernetes 允许创建一个有特权容器的 Pod,这些容器很可能会危机系统安全,而 Pod 安全策略(PSP)则通过确保请求者有权限按配置来创建 Pod,从而来保护集群免受特权 Pod 的影响。
[阅读全文]通过 GitHub OAuth 和 Dex 访问 Kubernetes 集群
我们知道可以通过 RBAC 为操作 kubectl 的用户或组来进行权限控制,但是我们往往是通过 kubernetes 集群的超级管理员手动为这些用户进行分配的,并没有一个开箱即用的 kubectl 身份验证工具。
现在参加 kubernetes 进阶课程的学生比较多,其中可能有一部分学生暂时还没有一套可用的集群环境,那么我们就可以为这部分学生授权访问我们的集群,但是如果这么多学生都手动去给他们创建身份认证必然非常麻烦。
那么我们可以用什么办法来可以很方便的为用户进行授权访问 kubernetes 集群呢?
[阅读全文]Kubernetes RBAC 详解
深入理解 Kubernetes RBAC 的用法
前面两节课我们学习了Kubernetes
中的两个用于配置信息的重要资源对象:ConfigMap
和Secret
,其实到这里我们基本上学习的内容已经覆盖到Kubernetes
中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。在我们演示一个完整的示例之前,我们还需要给大家讲解一个重要的概念:RBAC
- 基于角色的访问控制。
为kubernetes dashboard访问用户添加权限控制
前面我们在kubernetes dashboard 升级之路一文中成功的将Dashboard
升级到最新版本了,增加了身份认证功能,之前为了方便增加了一个admin
用户,然后授予了cluster-admin
的角色绑定,而该角色绑定是系统内置的一个超级管理员权限,也就是用该用户的token
登录Dashboard
后会很强势,什么权限都有,想干嘛干嘛,这样的操作显然是非常危险的。接下来我们来为一个新的用户添加访问权限控制。