2. 程式人生 > >21天轉型容器實戰營(十三容器進階之Kubernetes安全原理分析-實戰)

21天轉型容器實戰營(十三容器進階之Kubernetes安全原理分析-實戰)

阿新 發佈:2018-12-17 
[[email protected] ~]# kubectl get namespace
NAME          STATUS    AGE
default       Active    8d
kube-public   Active    8d
kube-system   Active    8d
[[email protected] ~]#
建立一個namespace,後續只讀使用者只能在該namespace下操作
[[email protected] ~]# kubectl create namespace cce
namespace "cce" created
[
 
[email protected] ~]# kubectl get namespace
NAME          STATUS    AGE
cce           Active    3s
default       Active    8d
kube-public   Active    8d
kube-system   Active    8d

在cce namespace下建立一個serviceAccount(sa)並獲取對應的secret下的token
[[email protected] ~]# kubectl create sa cce-service-account -ncce
serviceaccount "cce-service-account" created

獲取sa對應的secret名字
[
 
[email protected] ~]# kubectl get sa cce-service-account -ncce -oyaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2018-12-16T02:02:02Z
  name: cce-service-account
  namespace: cce
  resourceVersion: "506135"
  selfLink: /api/v1/namespaces/cce/serviceaccounts/cce-service-account
  uid: 94960f67-00d6-11e9-8978-fa163efa3106
secrets:
- name: cce-service-account-token-b86r5
[
 
[email protected] ~]#
獲取secret下的token,並base64解碼獲取token明文
[[email protected] ~]# token=`kubectl get secret cce-service-account-token-b86r5 -ncce -oyaml |grep token: | awk '{print $2}' | xargs echo -n | base64 -d`
[[email protected] ~]# echo $token
eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJjY2UiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlY3JldC5uYW1lIjoiY2NlLXNlcnZpY2UtYWNjb3VudC10b2tlbi1iODZyNSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJjY2Utc2VydmljZS1hY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiOTQ5NjBmNjctMDBkNi0xMWU5LTg5NzgtZmExNjNlZmEzMTA2Iiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmNjZTpjY2Utc2VydmljZS1hY2NvdW50In0.CfUnS_anvuK8QFEpzkkA-_epJ42N6v-kxAU6TPNpIEbpzyNylnAydUnpzc1t72RR13W1j5ESgm91ksQAeu09Xois_OtEnEVt6BfNKU_gKfRYXxv4ZoFO07wpbkgRojGa8aics3w4hCyaZWZNV7xNbzGArQwFFv2TR2WsQaJKmf8vRiwySzCNfIivOgD5lROULEHtAWcx7xxWr5xWWfFvBKDigJkNumZWPnEx_hLJgav3pt2lUucWpuDZQoM8g1UwMHV06eO8-Uu4VfaHJsAoBXPFgWvKGPOlbFfrNUX-SZAcMS9ej8vvuBvi8ZPFWkKnwedBDxzL7uwi6XImf9lTTA
[[email protected] ~]#

新增cce-user使用者(綠色字型為自定義欄位,可以不修改)
[[email protected] ~]# kubectl config set-cluster cce-viewer --server=https://192.168.47.160:5443 --certificate-authority=/var/paas/srv/kubernetes/ca.crt
Cluster "cce-viewer" set.
[[email protected] ~]# kubectl config set-context cce-viewer --cluster=cce-21days-cluster
Context "cce-viewer" created.
[[email protected] ~]# kubectl config set-credentials cce-user --token=$token
[[email protected] ~]# kubectl config set-context cce-viewer --user=cce-user
Context "cce-viewer" modified.
[[email protected] ~]#

通過如下命令可以看到已經有新建的context:
[[email protected] ~]# kubectl config get-contexts
CURRENT   NAME         CLUSTER              AUTHINFO   NAMESPACE
          cce-viewer   cce-21days-cluster   cce-user
*         internal     internalCluster      user
[[email protected] ~]#
[[email protected] day13]# cat role.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: cce
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
[[email protected] day13]# cat rolebinding.yaml
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: pod-reader-binding
  namespace: cce
subjects:
- kind: ServiceAccount
  name: cce-service-account
  namespace: cce
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
[[email protected] day13]#
[[email protected] day13]# kubectl create -f role.yaml
[[email protected] day13]# kubectl create -f rolebinding.yaml

切換context到cce-viewer使用者下,驗證許可權設定結果:
[[email protected] day13]# kubectl config use-context cce-viewer
Switched to context "cce-viewer".
[[email protected] day13]#
[[email protected] day13]# kubectl get pods
The connection to the server localhost:8080 was refused - did you specify the right host or port?
上述錯誤,說明沒有環境變數,即增加環境變數
[[email protected] day13]# export KUBERNETES_MASTER=https://192.168.47.160:5443

#檢視default namespace下的pod,應該會反回403無許可權的錯誤
[[email protected] day13]# kubectl get pods
Error from server (Forbidden): pods is forbidden: User "system:serviceaccount:cce:cce-service-account" cannot list pods in the namespace "default"
[[email protected] day13]#
[[email protected] day13]# kubectl config use-context cce-viewer
Switched to context "cce-viewer".
[[email protected] day13]# kubectl get pods
Error from server (Forbidden): pods is forbidden: User "system:serviceaccount:cce:cce-service-account" cannot list pods in the namespace "default"
[[email protected] day13]# kubectl get pods -ncce
No resources found.

#適用如下命令即可切換回admin管理員許可權的context:
[[email protected] day13]# kubectl config use-context internal
Switched to context "internal".
[[email protected] day13]#

相關推薦

21轉型容器戰營(十三容器Kubernetes安全原理分析-實戰

[[email protected] ~]# kubectl get namespace NAME STATUS AGE default Active 8d kube-public Active 8d kube-system Acti

21轉型容器戰營(十三容器Pod ,RC,Service完整欄位說明

Pod定義模版 屬性名稱 取值型別 是否必選 取值說明 version String Required v1 kind

21轉型容器戰營(十二容器Kubernetes 儲存管理原理分析

大綱 為何需要儲存卷? 普通儲存卷 應用中使用普通卷 持久化儲存卷(PV) 持久化儲存卷申明(PVC) 應用中使用持久化卷 為何需要儲存卷? 容器部署過程中一般有以下三種資料: - 啟動時需要的初始資料,可以是配置檔案 - 啟動過程中產生的臨時資料,該臨時資料需要多個容器間共享 - 啟動過程中產

21轉型容器戰營(十一容器Kubernetes 儲存管理原理分析

[[email protected] day11]# cat pvc.yaml apiVersion: v1 kind: PersistentVolumeClaim metadata: name: pvc-evs-auto-example namespace: default

21轉型容器戰營(一瞭解容器的基本知識)

一什麼是容器 •輕量級的作業系統虛擬化解決方案, 能夠在Linux系統上迅速建立一個容器(類似於虛擬機器)並在容器上部署和執行應用程式,同時還可以通過配置檔案輕鬆將應用程式的自動化安裝、部署和升級。 •基於Linux容器(LXC)技術,利用namespace的隔離機制隔離資源和cgoup的限額功能進

21轉型容器戰營(十八容器ContainerOps介紹

• 什麼是 持續整合/持續交付 • 常用CI/CD工具介紹 • 容器化為 整合/交付 帶來了什麼 • 容器化CI/CD流水線介紹 • 建立一條流水線  持續整合(英語:Continuous integration,縮寫CI)是一種軟體工程流 程,是將所有軟體工程師對於軟體的工作副本持續整合到共享

21轉型容器戰營(二十一基於AOS模板完成電商網站建立

應用編排->交付->運維->治理全生命週期 應用編排AOS:圖形化編排,一鍵式部署實現企業業務快速上雲和遷移 AOS主要概念 雲上的應用編排服務(Application Orchestration Service),可以通過設計複雜應用拓撲,實現復 雜應用的一鍵式部署。

21轉型容器實戰(華為雲學習

手把手執行一個映象 1、容器的特點2、啟動容器的引數3、 docker run -d -it --name test -p 900:8080 -v /opt/:/usr/local/ 78b258e36eed -d 後臺執行容器 -it 保持stdin和為容器建立tty虛擬終端。 --name 為容

Spring ApplicationContext 容器例化源碼筆記refresh03

end over lis 語言 factory rar messages intern attribute 前面兩篇文章寫到了refresh方法的 ConfigurableListableBeanFactory beanFactory = obtainFreshBeanFa

Spring ApplicationContext 容器例化源碼筆記refresh04

pan blog con 實例化 class all code sin factor 接下來是 // Allows post-processing of the bean factory in context subclasses. postProcessBeanFact

21轉型區塊鏈】DAY6

區塊鏈核心技術——智慧合約 鏈碼(智慧合約)的基本概念 智慧合約是由事件驅動的、具有狀態的、儲存和執行在區塊鏈上的程式 Fabric鏈碼基本概念 Channel — 通道,子鏈 1、同一peer可加入不不同channel 鏈碼的操作基於Channel進行

21轉型區塊鏈】DAY13

區塊鏈運維管理 彈性雲伺服器開機,叢集喚醒 1、peer擴容 區塊鏈服務下選取服務管理,點開marbles詳細資訊,在org1後點伸縮,調整例項數為3,點選確定 peer擴容完成 2、檢視節點(虛機)、peer、order效能指標 點選左側運維中心,可

21轉型區塊鏈】DAY15

基於區塊鏈身份共享的銀行II類賬戶跨行開戶Demo系統架構和業務介紹 本節建立一個新的bank demo(基於FBFT共識演算法),之前建立的服務可以刪除,刪除後集群可沿用 1、場景描述 本Demo實現了一個基於區塊鏈在多家銀行間共享KYC身份資訊的場景。系統包括區塊鏈

21轉型區塊鏈】DAY17

基於BCS的區塊鏈Demo應用程式碼 1、簡介 基於區塊鏈身份共享的銀行II類賬戶跨行開戶Demo包括如下兩部分,左側為BCS區塊鏈服務,右側為業務系統。業務系統包括一個前臺App Portal系統和服務端App Server。 App Portal與BCS沒有直接

21轉型區塊鏈】DAY18

基於BCS的區塊鏈Demo應用部署 1、簡介 此Demo部署之後圖示如下,準備一臺可用記憶體至少2G的伺服器,注意這個伺服器不能是CCE叢集中的節點。 其中api-server已經在昨天的任務中構建完成,從SWR中獲取它的映象。另外api-server訪問BCS

Spring路(2)-ApplicationContext容器以及事件機制

Spring容器最基本的介面是BeanFactory,他負責配置、建立、管理bean,他的子介面之一:ApplicationContext,也叫做spring的上下文。ApplicationConte

5.4-全棧Java筆記:面向對象對象的轉型 | FINAL關鍵字 |抽象方法和抽象類

java對象的轉型(casting)引用變量只能調用它編譯類型的方法,不能調用它運行類型的方法。這時,我們就需要進行類型的強制轉換!【示例1】對象的轉型public class TestCasting { public static void main(String[] args) {

C++筆記 第十三面向物件(上---狄泰學院

如果在閱讀過程中發現有錯誤,望評論指正,希望大家一起學習,一起進步。 學習C++編譯環境:Linux 第十三課 進階面向物件(上) 你考慮過嗎? 日常生活中,我們都習慣於對事物進行分類。那麼,這種分類的思想是夠可以引入程式設計中呢?是的 1.面向物件基本概念 面向物件

Vue 路(十三

之前的文章我們介紹了一下 vue 中的作用域插槽,本章我們來看一下動態元件與 v-once 指令。 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4 <meta charset="UTF-8"&

Python 爬蟲從入門到路(十三

之前的文章我們介紹了一下 BeautifulSoup4 模組,接下來我們就利用 BeautifulSoup4 模組爬取《糗事百科》的糗事。 之前我們已經分別利用 re 模組和 Xpath 模組爬取過糗百,我們只需要在其基礎上做一些修改就可以了,為了保證專案的完整性,我們重新再來一遍。 我們要爬取