AI 助理
文档备案控制台
开发者社区 云原生 容器服务 文章 正文

容器服务kubernetes与堡垒机按应用人员设置权限

2019-10-10 1884
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 1.前言: aliyun 上采用容器服务 kubernetes 部署某业务的所有应用,每个应用有不同的Owner, 开发人员, 运维,需要根据应用分配不同的人访问权限。 需求:运维人员(集群管理人员)---> 所有应用配置读写;应用owner与运维 --> 所属应用的配置读写;应用开发测试等人员 --> 只读访问应用的配置,并可以进入 POD 维护;所有人员通过堡垒机运维线上系统,堡垒机审计功能记录运维人员的操作过程。

1.前言:

 aliyun 上采用容器服务 kubernetes 部署某业务的所有应用,每个应用有不同的Owner, 开发人员, 运维,需要根据应用分配不同的人访问权限。
需求:

  • 运维人员(集群管理人员)---> 所有应用配置读写;
  • 应用owner与运维 --> 所属应用的配置读写;
  • 应用开发测试等人员 --> 只读访问应用的配置,并可以进入 POD 维护;
  • 所有人员通过堡垒机运维线上系统,堡垒机审计功能记录运维人员的操作过程。
  • 使用 Kubernetes RBAC 实现应用授权。
  • 堡垒机运维 k8s 容器服务应用

2. 实现流程:

2.1 前置规约:

  • aliyun 购买堡垒机;
  • aliyun 上购买一台低配 ECS 作为堡垒机的跳板机;
  • 堡垒机跳板机获取需要分配权限的 k8s 集群的Master 证书,用以制作子证书;
  • 应用在 k8s 集群中按照namespace 分区部署。

2.2 k8s 集群授权:

2.2.1 用户证书生成:

 堡垒机上建立应用操作用户,例如:{app_name}-dev, 命令如下:

## 堡垒机的跳板机上建立用户
useradd {USER_NAME}
## 为用户设置密码,该密码将用户堡垒机设置凭证登录
echo '{passwork}' | passwd --stdin {USER_NAME}
## 使用 Master 根证书 生成 用户证书
openssl genrsa -out ${USER_NAME}.key 2048
## generate user.csr
openssl req -new -key ${USER_NAME}.key -out ${USER_NAME}.csr -subj "/CN=${USER_NAME}/O=ProjectY"
## generate user.crt
openssl x509 -req -in ${USER_NAME}.csr -CA /root/cert/ca.crt -CAkey /root/cert/ca.key -CAcreateserial -out ${USER_NAME}.crt -days 356
## 建立用户证书存放目录
mkdir /home/${USER_NAME}/.cert
mv ${USER_NAME}.* /home/${USER_NAME}/.cert
chown ${USER_NAME}:${USER_NAME} /home/${USER_NAME}/.cert/${USER_NAME}.*
mkdir /home/${USER_NAME}/.kube
## 生成用户证书
kubectl config set-cluster kubernetes --certificate-authority=/home/admin/cert/${AREA}/ca.crt --embed-certs=true --server=${SERVER} --kubeconfig=/home/${USER_NAME}/.kube/config
kubectl config set-credentials ${USER_NAME} --client-certificate=/home/${USER_NAME}/.cert/${USER_NAME}.crt  --client-key=/home/${USER_NAME}/.cert/${USER_NAME}.key --kubeconfig=/home/${USER_NAME}/.kube/config
chown -R ${USER_NAME}:${USER_NAME} /home/${USER_NAME}/
## 设置证书context 切换到指定命名空间
kubectl config set-context ${USER_NAME}-context --cluster=kubernetes --namespace=${NAME_SPACE} --user=${USER_NAME} --kubeconfig=/home/${USER_NAME}/.kube/config

2.2.2 设置 k8s role与 rolebinding:

 针对应用不同角色用户,设置 namespace 的不同操作权限,比如应用开发人员只读权限,生成 role 与 rolebinding 的 yaml 如下:

## role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: '${ROLE_NAME}' 
  namespace: '${NAME_SPACE}' 
rules:
- apiGroups: 
  - ""
  resources: ## 只能访问 pod 和 pod 的日志
  - pods
  - pods/log
  verbs:  ## 只读权限
  - get
  - list
- apiGroups:
  - ""
  resources:
  - pods/exec
  verbs:
  - create

## rolebing.yaml, 指定该 role 只能访问指定 namespaces
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: '${USER_NAME}'
  namespace: '${NAME_SPACE}'
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: '${ROLE_NAME}'
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: '${USER_NAME}'

 同理,你还可以设置其它角色的用户,授予相应权限;

生成 k8s 集群的 role 和 rolebinding:

# 生成 role与 rolebinding
kubectl create -f role-${ROLE_NAME}.yaml
kubectl create -f rolebind-${USER_NAME}.yaml

# 查看当前用户的 config
kubectl config view --cluster=kubernetes --namespace=${NAME_SPACE} --user=${USER_NAME} --kubeconfig=/home/${USER_NAME}/.kube/config
# 设置当前用户默认到该 namespace
kubectl config use-context ${USER_NAME}-context --cluster=kubernetes --namespace=${NAME_SPACE} --user=${USER_NAME} --kubeconfig=/home/${USER_NAME}/.kube/config
# 查看用户 config
kubectl config view --cluster=kubernetes --namespace=${NAME_SPACE} --user=${USER_NAME} --kubeconfig=/home/${USER_NAME}/.kube/config

 至此,堡垒机访问 k8s 集群的跳板机上不同应用的设置完成,下面需要设置堡垒机访问。

2.3 堡垒机配置:

  • 设置堡垒机资源的服务器,指向 k8s 访问的跳板机;
  • 使用前文添加的证书和用户,设置每个应用在跳板机上用户的凭证;
  • 建立授权组,授权相关用户指向授权组和服务器。
文章标签:
容器计算服务
运维安全中心(堡垒机)
容器服务Kubernetes版
容器
Kubernetes
运维
Perl
关键词:
容器应用
容器服务Kubernetes版kubernetes
容器服务Kubernetes版容器
容器服务容器服务Kubernetes版
容器容器服务Kubernetes版
相关实践学习
使用ACS算力快速搭建生成式会话应用
阿里云容器计算服务 ACS(Container Compute Service)以Kubernetes为使用界面,采用Serverless形态提供弹性的算力资源,使您轻松高效运行容器应用。本文将指导您如何通过ACS控制台及ACS集群证书在ACS集群中快速部署并公开一个容器化生成式AI会话应用,并监控应用的运行情况。
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
joezxh
目录
相关文章
南瓜佬
|
7月前
|
存储 Kubernetes 网络安全
关于阿里云 Kubernetes 容器服务(ACK)添加镜像仓库的快速说明
本文介绍了在中国大陆地区因网络限制无法正常拉取 Docker 镜像的解决方案。作者所在的阿里云 Kubernetes 集群使用的是较旧版本的 containerd(1.2x),且无法直接通过 SSH 修改节点配置,因此采用了一种无需更改 Kubernetes 配置文件的方法。通过为 `docker.io` 添加 containerd 的镜像源,并使用脚本自动修改 containerd 配置文件中的路径错误(将错误的 `cert.d` 改为 `certs.d`),最终实现了通过多个镜像站点拉取镜像。作者还提供了一个可重复运行的脚本,用于动态配置镜像源。虽然该方案能缓解镜像拉取问题,
南瓜佬
760 2
阿里云基础设施.
|
9月前
|
运维 Kubernetes 持续交付
ACK One GitOps:让全球化游戏服务持续交付更简单
ACK One GitOps 致力于提供开箱即用的多集群 GitOps 持续交付能力,简化游戏等服务的多集群/多地域统一部署,让您更加专注于业务开发。
阿里云基础设施.
219 0
蓝易云
|
存储 Kubernetes 监控
K8s集群实战:使用kubeadm和kuboard部署Kubernetes集群
总之,使用kubeadm和kuboard部署K8s集群就像回归童年一样,简单又有趣。不要忘记,技术是为人服务的,用K8s集群操控云端资源,我们不过是想在复杂的世界找寻简单。尽管部署过程可能遇到困难,但朝着简化复杂的目标,我们就能找到意义和乐趣。希望你也能利用这些工具,找到你的乐趣,满足你的需求。
蓝易云
1094 33
阿里云基础设施.
|
存储 人工智能 Kubernetes
ACK Gateway with AI Extension:面向Kubernetes大模型推理的智能路由实践
本文介绍了如何利用阿里云容器服务ACK推出的ACK Gateway with AI Extension组件,在Kubernetes环境中为大语言模型(LLM)推理服务提供智能路由和负载均衡能力。文章以部署和优化QwQ-32B模型为例,详细展示了从环境准备到性能测试的完整实践过程。
阿里云基础设施.
602 17
技术小达人
|
存储 监控 对象存储
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
技术小达人
387 0
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
码农小达人
|
存储 监控 对象存储
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
ACK 容器监控存储全面更新:让您的应用运行更稳定、更透明
码农小达人
296 1
阿里云基础设施.
|
存储 运维 Kubernetes
容器数据保护:基于容器服务 Kubernetes 版(ACK)备份中心实现K8s存储卷一键备份与恢复
阿里云ACK备份中心提供一站式容器化业务灾备及迁移方案,减少数据丢失风险,确保业务稳定运行。
阿里云基础设施.
744 0
探索云世界动手实践
|
监控 Cloud Native Java
基于阿里云容器服务(ACK)的微服务架构设计与实践
本文介绍如何利用阿里云容器服务Kubernetes版(ACK)构建高可用、可扩展的微服务架构。通过电商平台案例,展示基于Java(Spring Boot)、Docker、Nacos等技术的开发、容器化、部署流程,涵盖服务注册、API网关、监控日志及性能优化实践,帮助企业实现云原生转型。
探索云世界动手实践
914 0
xaubllxwtvaqiu
|
Kubernetes Java 开发者
部署应用到阿里云容器服务 Kubernetes| 学习笔记
快速学习部署应用到阿里云容器服务 Kubernetes。
xaubllxwtvaqiu
356 0
部署应用到阿里云容器服务 Kubernetes| 学习笔记
学堂小助手
|
Kubernetes Java 开发者
部署应用到阿里云容器服务 Kubernetes| 学习笔记
快速学习部署应用到阿里云容器服务 Kubernetes。
学堂小助手
562 0
部署应用到阿里云容器服务 Kubernetes| 学习笔记
云原生

容器服务

热门文章

最新文章

  • 1
    Minikube - Kubernetes本地实验环境
  • 2
    基于Docker容器的,Jenkins、GitLab构建持续集成CI
  • 3
    谈谈 Docker Volume 之权限管理(一)
  • 4
    使用阿里云容器服务Jenkins 2.0实现持续集成之Pipeline篇(updated on 2016.12.23)
  • 5
    理解Docker容器的进程管理
  • 6
    阿里云容器服务飞天敏捷版详解
  • 7
    在阿里云容器服务上创建一个spring boot应用
  • 8
    Docker学习之搭建MySql容器服务
  • 9
    阿里云Kubernetes CSI实践 - 部署详解
  • 10
    Docker for Windows 中“executable file not found”和“no such file”问题
  • 1
    最全的docker命令参数解释及命令用法
    1117
  • 2
    最全的kubectl命令用法
    595
  • 3
    一文讲解kubernetes的gateway Api的功能、架构、部署、管理及使用
    877
  • 4
    xkube v4.0发布,完全开发源代码并新增k8s网关、亲和性很多k8s实用功能
    357
  • 5
    Docker教程
    324
  • 6
    一文掌握pod亲和性及调度策略
    284
  • 7
    一文掌握k8s容器的资源限制
    432
  • 8
    一文掌握k8s容器的生命周期
    362
  • 9
    在 Kubernetes 中实现 NFS 动态存储供应:生产级实践指南
    647
  • 10
    一文掌握k8s的升级更新策略
    277

    • 相关产品

  • 容器计算服务
    文档详情 产品详情
  • 容器服务Kubernetes版
    文档详情 产品详情

    • 相关课程

    更多
  • 阿里云 EMR on ACK 实战
  • 阿里云K8S微服务部署案例
  • Kubernetes极速入门
  • Serverless 容器从入门到精通: - Serverless Kubernetes
  • Kubernetes云原生管理实践
  • Kubernetes入门

    • 相关电子书

    更多
  • ACK 云原生弹性方案—云原生时代的加速器
  • ACK集群类型选择最佳实践
  • 企业运维之云原生和Kubernetes 实战

    • 推荐镜像

    更多
  • kubernetes
    • 下一篇
    PHP:将本地文件上传到阿里云OSS存储