k8s安全控制、授权管理介绍,全网最新

3.ABAC

4.Webhook

5.Node

6.RBAC

三.Role解释

1.Role和ClusterRole

2.Rolebinding和ClusterBinding

3.Rolebinding和ClusterRole

四.准入控制

1.命令格式

2.可配置控制器

五.例子

1.生成签署证书

2.设置用户和上下文信息

3.为sulibao用户授权


一.Kubernetes安全控制介绍

1.客户端认证操作

两者最终都是面向kubernetes的

(1)user account

单独位于kubernetes外的用户账号

(2)service account

kubernetes管理账号,为pod中的服务进程在访问kubernete时提供身份标识

2.访问对象资源依次流程

(1)Authentication认证

所有请求都要经过apiserver,这里进行身份认证,只认准正确的账号

(2)Authorization

账号认证通过后进行资源权限判定,授权发生在认证成功之后,这时候就知道请求用户是谁, Kubernetes就会根据事先定义的授权策略来决定用户是否有权限访问。请求报文一般包含这些内容,请求的用户、请求的路径、请求的动作等,kubernetes将这些内容与事先定义好的策略比对,如果符合策略,则认为授权通过,否则会错误。

(3)Admission Control

准入控制,实现更加精细的访问控制

二.授权管理介绍

我是以kubeadm安装的kubernetes,主要是用到rbac的角色访问控制。

实际上apiserver支持至少六种授权策略:

1.AlwaysDeny

表示拒绝所有请求,通常不使用哈

2.AlwaysAllow

默认的策略,允许接收所有请求,就相当于没进行权限控制

3.ABAC

表示使用用户配置的授权规则对用户请求进行匹配和控制(基于用户属性)

4.Webhook

引用外部REST服务对用户进行授权管理

5.Node

用于对kubelet发出的请求进行访问控制,比较特殊的一种模式

6.RBAC

基于角色访问控制,一般是需要账号等

三.Role解释

理解为哪些对象拥有哪些权限,如下介绍RBAC的四个顶级资源对象(Role、Rolebinding、ClusterRole、ClusterRoleBinding)

1.Role和ClusterRole

角色,可以为角色指定一组权限,指定什么权限该角色就拥有什么权限,一个角色一组权限

(1)Role,是对指定的命名空间的资源进行权限配置,是需要指定名称空间的

#rule中的参数用来对授权进行配置
rules:

  • apiGroups: [“”] #支持的API组列表,“” 空字符串,表示核心API群
    resources: [“pods”] #支持的资源对象列表
    verbs: [“get”, “watch”, “list”] #允许的对资源对象的操作方法列表

(2)ClusterRole,是对整个集群范围内资源(不仅仅限于具体某个名称空间)、非资源类型等进行授权配置

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

c5d629f1415a9e35662316578e07.png#pic_center)

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-L9pvWzkt-1712501392478)]

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/798110.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

深入剖析主机安全中的零信任机制及其实施原理

引言 在数字化转型加速与云端服务普及的大背景下,传统依赖边界的网络安全模式逐渐显露出其局限性。面对愈发复杂多变的威胁环境,零信任安全架构作为新一代的安全范式应运而生,尤其是在主机层面的安全实践中,零信任机制正扮演着至…

每日OJ题_优先级队列_堆③_力扣692. 前K个高频单词

目录 力扣692. 前K个高频单词 解析代码 力扣692. 前K个高频单词 692. 前K个高频单词 难度 中等 给定一个单词列表 words 和一个整数 k ,返回前 k 个出现次数最多的单词。 返回的答案应该按单词出现频率由高到低排序。如果不同的单词有相同出现频率&#xff0c…

usb_camera传输视频流编码的问题记录!

前言: 大家好,今天给大家分享的内容是,一个vip课程付费的朋友,在学习过程中遇到了一个usb采集的视频数据流,经过ffmpeg编码,出现了问题: 问题分析: 其实这个问题不难,关键…

centos7.2系统部署ZooKeeper集群和Kafka集群(集群应用系统商城前置环境)

本次实验将使用centos7.2系统部署部署ZooKeeper集群因为Kafka依赖于ZooKeeper,所以我们一并进行部署。 实验所示的资源软件已上传至百度网盘,需要自取。 链接:https://pan.baidu.com/s/1a-7_iAIX0DBAMkF9bhiTcA?pwd2333 提取码&#xff1…

泛型(java学习)

目录 1.泛型介绍: 2.泛型的好处: 3.泛型的语法 4.泛型的细节 5.自定义泛型 6.自定义泛型接口 8.泛型的继承和通配符 1.泛型介绍: 1)泛型又称参数化类型,解决数据类型的安全性问题。 2)在类声明或实例…

[尚硅谷 flink] 基于时间的合流——双流联结(Join)

文章目录 8.1 窗口联结(Window Join)8.2 **间隔联结(Interval Join)** 8.1 窗口联结(Window Join) Flink为基于一段时间的双流合并专门提供了一个窗口联结算子,可以定义时间窗口,并…

实现通讯录(顺序表版本)

一、功能要求 (1)⾄少能够存储100个⼈的通讯信息 (2)能够保存⽤⼾信息:名字、性别、年龄、电话、地址等 (3)增加联系⼈信息 (4)删除指定联系⼈ (5&#…

X年后,ChatGPT会替代底层程序员吗?

能不能替代,真的很难说,因为机器换掉人,这其实是一个伦理问题。 其实说白了,任何行业在未来都会被AI或多或少的冲击到,因为ChatGPT做为一个可以持续提升智能的AI,在某些方面的智能程度超过人类并不是什么难…

数据结构-基本概念

1.什么是数据结构? 数据 数据,是对客观事物的符号表示,在计算机科学中是指所有能输入到计算机中并被计算机程序处理的符号的总称。 结构 (1)线性结构(比如图书目录文件,一对一的关系&#x…

Unity Meta Quest MR 开发(五):空间锚点

文章目录 📕教程说明 此教程相关的详细教案,文档,思维导图和工程文件会放入 Spatial XR 社区。这是一个高质量 XR 开发者社区,博主目前在内担任 XR 开发的讲师。该社区提供专人答疑、完整进阶教程、从零到一项目孵化保姆服务&…

文件及相关文件函数的使用

目录 前言 文件的概述 文件类型 如何用C语言来操作文件呢? 文件缓冲区 文件的打开与关闭 文件的打开——fopen()函数 文件的关闭——fclose()函数 文件结束检测——feof()函数 文件的顺序读写 文件字符输出函…

kubernetes集群添加到jumpserver堡垒机里管理

第一步、在kubernetes集群中获取一个永久的token。 jumpserver堡垒机用api的来管理kubernetes,所以需要kubernetes的token,这个token还需要是一个永久的token,版本变更:Kubernetes 1.24基于安全方面的考虑(特性门控Le…

JVM字节码与类的加载——class文件结构

文章目录 1、概述1.1、class文件的跨平台性1.2、编译器分类1.3、透过字节码指令看代码细节 2、虚拟机的基石:class文件2.1、字节码指令2.2、解读字节码方式 3、class文件结构3.1、魔数:class文件的标识3.2、class文件版本号3.3、常量池:存放所…

在 K8s 上跑腾讯云 Serverless 函数,打破传统方式造就新变革

目录 目录 前言 Serverless 和 K8s 的优势 1、关于Serverless 函数的特点 2、K8s 的特点 腾讯云 Serverless 函数在 K8s 上的应用对企业服务的影响 1、弹性扩展和高可用性 2、成本优化和资源利用 3、简化部署和管理 拓展:腾讯云云函数 SCF on K8s 番外篇…

HarmonyOS实战开发-如何实现蓝牙设备发现、配对、取消配对功能。

介绍 蓝牙技术是一种无线数据和语音通信开放的全球规范,它是基于低成本的近距离无线连接,为固定和移动设备建立通信环境的一种特殊的近距离无线技术连接。本示例通过ohos.bluetooth 接口实现蓝牙设备发现、配对、取消配对功能。实现效果如下&#xff1a…

计算机网络 实验指导 实验9

实验9 三层交换机综合实验 1.实验拓扑图 名称相连的接口IP地址网关PC1F0/3172.1.1.2/28172.1.1.1/28PC2F0/4172.1.1.18/28172.1.1.17/28PC3F0/5172.1.1.34/28172.1.1.33/28PC4F0/3172.1.1.3/28172.1.1.1/28PC5F0/4172.1.1.19/28172.1.1.17/28PC6F0/5172.1.1.35/28172.1.1.33/2…

ROS 2边学边练(16)-- 自定义msg和srv文件

前言 在前面的文章我们在学习主题(topic)和服务(service)通信方法时,使用的一直是ROS 2提供好的消息结构文件(xxx.msg)和服务结构文件(xxx.srv),稀里糊涂的就…

编程新手必看,学习python中列表数据类型内容(9)

Python中的列表是一种可变的、有序的数据结构,它允许存储不同类型的数据项,并支持多种操作。具体如下: 创建列表:可以通过一对方括号[]来创建一个空列表,或者在方括号内放入初始元素来创建一个非空列表。例如&#xff…

链表实验.

#include<stdio.h> #include<stdlib.h>// 定义单链表节点结构体 struct Node {int data;struct Node* next; };struct Node* initList() {struct Node* list (struct Node*)malloc(sizeof(struct Node));list->data 0;list->next NULL;return list; }void…

特征提取算法

特征提取算法 0. 写在前边1. Harris算法1.1 写在前面1.2 Harris算法的本质1.3 Harris算法的简化 2. Harris3D2.1 Harris3D算法问题定义2.2 Harris3D with intensity2.3 Harris3D without intensity 3. ISS特征点的应用 0. 写在前边 本篇将介绍几种特征提取算法&#xff0c;特征…