AI 助理
文档备案控制台
开发者社区 云原生 文章 正文

Kubernetes中使用Node授权

2018-12-14 1458
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Node授权是一种特殊授权模式,专门授权由kubelet访问的API请求。 概述 Node授权器允许kubelet执行的API操作包括: 读: services endpoints nodes pods secrets, configmaps, persistent volume claims a.

Node授权是一种特殊授权模式,专门授权由kubelet访问的API请求。


概述

Node授权器允许kubelet执行的API操作包括:

读:

  • services
  • endpoints
  • nodes
  • pods
  • secrets, configmaps, persistent volume claims and persistent volumes related to pods bound to the kubelet’s node

写:

  • Node和Node status(启用NodeRestriction准入插件限制kubelet仅修改当前的Node)
  • Pod和Pod status(启用NodeRestriction准入插件限制kubelet仅修改与当前绑定的pod)
  • events

Auth-related:

  • read/write access to the certificationsigningrequests API for TLS bootstrapping
  • the ability to create tokenreviews and subjectaccessreviews for delegated authentication/authorization checks

在以后的版本中,Node授权器支持添加或删除的权限。

为获得Node授权器的授权,kubelet需要使用system:nodes组中的用户名system:node:<nodeName>。

启用Node授权器方法:apiserver –authorization-mode=Node。

为了限制kubelets能够写入的API对象,可以启动–admission-control=…,NodeRestriction,…准入(admission)插件。

Migration considerations

外部Kubelets system:node组

Node授权模式不授权外部Kubelets system:node组。

使用RBAC来升级

使用RBAC升级,1.7之前按原样运行,因为system:nodes group binding 已经存在。

如果希望开始使用Node授权和NodeRestriction 准入插件来限制对API的访问,则执行:

  1. 启用Node授权模式(–authorization-mode=Node,RBAC)和NodeRestriction 准入插件
  2. 确保所有kubelet的证书符合 group/username 要求
  3. 检查apiserver日志,确保Node授权器接受kubelets的请求(不NODE DENY记录持久性消息)
  4. 删除system:node集群 role binding

RBAC Node权限

在1.6中,使用RBAC授权模式时,system:node群集角色(role)自动绑定到该system:nodes组。

在1.7中,由于Node授权器实现了相同的目的,因此不再支持system:nodes组与system:node角色的自动绑定,从而有利于对secret 和configmap访问的附加限制。

在1.8中,将不会创建binding。

使用RBAC时,将继续创建system:node集群角色,以便兼容使用deployment将其他users或groups绑定到集群角色的方法。

本文转自中文社区-Kubernetes中使用Node授权

文章标签:
容器服务Kubernetes版
API
容器
Kubernetes
Perl
关键词:
kubernetes node.js
node.js kubernetes
容器服务Kubernetes版授权
容器服务Kubernetes版node
node.js授权
相关实践学习
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。 &nbsp; &nbsp; 相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
店家小二
目录
相关文章
蓝易云
|
7月前
|
运维 Kubernetes API
解决Kubernetes集群中master节点无法与node节点通信的策略。
这些策略不仅需要执行命令来获取信息,更要深入理解集群组件如何交互,以便进行准确的故障定位与修复。一条一条地排查,并适时回顾配置文件,证书有效性等,通常可以找到问题所在。给出的命令需要根据具体环境的配置进行适当的修改。故障排除往往是一个细致且需求反复验证的过程,但遵循上述策略可以高效定位大部分通信故障的原因。
蓝易云
568 12
大熊计算机
|
8月前
|
机器学习/深度学习 Kubernetes 监控
Kubernetes 节点故障自愈方案:结合 Node Problem Detector 与自动化脚本
本文深入探讨了Kubernetes节点故障自愈方案,结合Node Problem Detector(NPD)与自动化脚本,提供技术细节、完整代码示例及实战验证。文章分析了硬件、系统和内核层面的典型故障场景,指出现有监控体系的局限性,并提出基于NPD的实时事件捕获与自动化诊断树的改进方案。通过深度集成NPD、设计自动化修复引擎以及展示内核死锁恢复的实战案例,文章详细说明了自愈流程的实现步骤与性能优势。此外,还提供了生产环境部署指南、高可用架构设计及安全防护措施,并展望了机器学习增强故障预测和混沌工程验证的进阶优化方向。全文约1.2万字,适合希望提升Kubernetes集群稳定性的技术人员阅读。
大熊计算机
602 1
路边两盏灯
|
Kubernetes Ubuntu Windows
【Azure K8S | AKS】分享从AKS集群的Node中查看日志的方法(/var/log)
【Azure K8S | AKS】分享从AKS集群的Node中查看日志的方法(/var/log)
路边两盏灯
386 3
蓝易云
|
11月前
|
Kubernetes API 网络安全
当node节点kubectl 命令无法连接到 Kubernetes API 服务器
当Node节点上的 `kubectl`无法连接到Kubernetes API服务器时,可以通过以上步骤逐步排查和解决问题。首先确保网络连接正常,验证 `kubeconfig`文件配置正确,检查API服务器和Node节点的状态,最后排除防火墙或网络策略的干扰,并通过重启服务恢复正常连接。通过这些措施,可以有效解决与Kubernetes API服务器通信的常见问题,从而保障集群的正常运行。
蓝易云
914 17
尹正杰
|
Kubernetes 安全 API
Kubernetes系统安全-授权策略(authorization policy)
文章主要介绍了Kubernetes系统中的授权策略,包括授权模块的概述、RBAC授权模块的详细说明以及如何创建和管理角色(Role)和集群角色(ClusterRole)。
尹正杰
223 0
Kubernetes系统安全-授权策略(authorization policy)
游客mldfis24krfue
|
存储 Kubernetes 负载均衡
在K8S中,node数量增多会有什么影响吗?
在K8S中,node数量增多会有什么影响吗?
游客mldfis24krfue
218 1
VipSoft
|
Kubernetes 容器
Kubernetes(K8S) 安装 Metrics-Server kubectl top (metrics-server) node NotFound
Kubernetes(K8S) 安装 Metrics-Server kubectl top (metrics-server) node NotFound
VipSoft
204 0
VipSoft
|
Kubernetes 容器 Perl
Kubernetes(K8S) Node NotReady 节点资源不足 Pod无法运行
Kubernetes(K8S) Node NotReady 节点资源不足 Pod无法运行
VipSoft
356 0
蓝易云
|
7月前
|
JavaScript Unix Linux
nvm与node.js的安装指南
通过以上步骤,你可以在各种操作系统上成功安装NVM和Node.js,从而在不同的项目中灵活切换Node.js版本。这种灵活性对于管理不同项目的环境依赖而言是非常重要的。
蓝易云
1897 11
阿里云智能-系统运维管理团队
|
弹性计算 JavaScript 前端开发
一键安装!阿里云新功能部署Nodejs环境到ECS竟然如此简单!
Node.js 是一种高效的 JavaScript 运行环境,基于 Chrome V8 引擎,支持在服务器端运行 JavaScript 代码。本文介绍如何在阿里云上一键部署 Node.js 环境,无需繁琐配置,轻松上手。前提条件包括 ECS 实例运行中且操作系统为 CentOS、Ubuntu 等。功能特点为一键安装和稳定性好,支持常用 LTS 版本。安装步骤简单:登录阿里云控制台,选择扩展程序管理页面,安装 Node.js 扩展,选择实例和版本,等待创建完成并验证安装成功。通过阿里云的公共扩展,初学者和经验丰富的开发者都能快速进入开发状态,开启高效开发之旅。
阿里云智能-系统运维管理团队
1027 60

热门文章

最新文章

  • 1
    阿里云容器服务ACK云原生AI套件测评
  • 2
    通过阿里云容器服务深度学习解决方案上手Caffe+多GPU训练
  • 3
    使用阿里云容器服务Kubernetes实现蓝绿发布功能
  • 4
    技术赋能无止境 Kubernetes Meetup 北京站完美闭幕
  • 5
    Kubernetes Meetup深秋成都行 Ghostcloud精灵云获好评如云
  • 6
    寻找 K8s 1.14 Release 里的“蚌中之珠”
  • 7
    【云栖大会】Docker与阿里云达成战略合作 为企业级客户提供容器服务
  • 8
    阿里云原生容器服务产品体系-阿里云容器服务体系概述
  • 9
    假期充电,用阿里云 Serverless K8s + AIGC 搭建私人代码助理
  • 10
    k8s 部署polardb-x集群
  • 1
    局域网监控其他电脑的设备信息管理 Node.js 跳表算法
    177
  • 2
    百宝箱开放平台 ✖️ Node.js SDK
    281
  • 3
    电脑管控软件的进程优先级调度:Node.js 红黑树算法
    261
  • 4
    企业上网监控系统的恶意 URL 过滤 Node.js 布隆过滤器算法
    322
  • 5
    基于 Node.js 图结构的局域网设备拓扑分析算法在局域网内监控软件中的应用研究
    333
  • 6
    【逆向】Python 调用 JS 代码实战:使用 pyexecjs 与 Node.js 无缝衔接
    1044
  • 7
    手把手搭建自定义 CI/CD 服务器,实现 Node.js 部署自动化
    862
  • 8
    基于布隆过滤器的 Node.js 算法在局域网电脑桌面监控设备快速校验中的应用研究
    261
  • 9
    nvm与node.js的安装指南
    1897
  • 10
    解决Kubernetes集群中master节点无法与node节点通信的策略。
    568

    • 相关课程

    更多
  • 阿里云 EMR on ACK 实战
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 推荐镜像

    更多
  • kubernetes
    • 下一篇
    第五届伏魔挑战赛如约来袭,诚邀各路高手来战!