#重启策略，默认Always EOF # kubectl apply -f pod-busybox-test.yml ④创建imagePullSecret ★第11章、RBAC权限配置 k8s的账号有2类，UserAccount用户账号和ServiceAccount服务账号。 k8s中不直接保存 UserAccount用户账号，在k8s系统里看不到，服务账号需要绑 定一个命名空间。 docker-registry 类 型 的 imagePullSecret EOF ③RBAC基于角色的访问控制 RBAC（Role-Based Access Control）基于角色的访问控制，它将权限授予角色 Role之上，然后将角色绑定到某用户或用户组上，这样用户就有了所绑定角色 的权限 k8s的RBAC的角色有2种， Role role作用于名称空间，有命名空间之分 将Role绑定到某用户 e绑定 到某用户(组)需要使用ClusterRoleBinding资源 ★创建Role # cat > role-pods-reader.yaml <rbac.authoriza�on.k8s.io/v1 kind: Role metadata: name: role-pods-reader #role名称 namespace:

hite-paper.pdf ©2019 VMware, Inc. 13 企業可依照自己的團隊分工選擇各種角色隔離或者指派到相同對象 PKS對於平台各租戶/層級都有明確角色存取控管 (RBAC)設計 Master Worker Worker Pod Pod kube-cluster Master Worker Worker Pod Pod kube-cluster PKS把原生K8s欠缺的帳號/存取權限/API呼叫/密碼保護補好補滿 解決方案 • 對VMware PKS CLI控制平面提供認 證與角色權限控管(RBAC) • 對原生Kubernetes API提供認證與角 色權限控管(RBAC) • 集中帳號權限管理-可整合外部Active Directory/LDAP 如何實踐 • 透過User Account & Authentication CredHub服務安全地自動化產生與 保存帳號權限 • 這幾項服務可以針對多個 Kubernetes 叢集個別指派授權 Centralized Authentication with RBAC Operator admin Developers Developers Kubernetes NameSpace NameSpace NameSpace NameSpace

1-crd.yaml Step2: 创建 RBAC 权限 vi 2-rbac.yaml apiVersion: v1 kind: ServiceAccount metadata: name: traefik-ingress-controller --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1beta1 --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: traefik-ingress-controller roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole ServiceAccount name: traefik-ingress-controller namespace: default kubectl apply -f 2-rbac.yaml Step3: 创建 traefik 配置文件的 configmap vi 3-configmap.yaml kind: ConfigMap apiVersion: v1

API- Gateway 镜像仓库 统⼀一代码管理理 统⼀一编程框架 统⼀一通讯协议 统⼀一部署环境 计算平台/KUN 公共服务 存储平台 Think in Cloud . 北北京 基于RBAC实现 账号管理理隔离 01 IPv6 02 Operator管理理有 状态的服务 03 监控 04 Think in Cloud . 北北京 • K8S提供了了多种身份认证策略略，具体如何实施？ 如何管理理User？ • K8S有⼀一套完整的权限系统，但如何处理理User与权限的绑定？ • 对于多集群，如何实现User跨集群的管理理？ 基于RBAC实现账号管理理隔离 Think in Cloud . 北北京 基于RBAC实现账号管理理隔离 • 选择Token认证⽅方式 • 通过服务账号SA模拟普通⽤用户User，即User与SA⼀一⼀一对应 • 所有模拟账号SA放置同⼀一个NS，统⼀一管理理 ……. ClusterRole: 1. cr-ns 2. cr-get Kubertnetes集群 ⽤用户管理理 ⽤用户：U1、U2 Think in Cloud . 北北京 基于RBAC实现账号管理理隔离 • 抽象Project对象给User使⽤用 • Project与每个集群的NS⼀一⼀一对应 • User在每个集群上都有对应模拟账号，⽤用于NS授权 NS ServiceAccount：SS

KUBELET K8s RBAC APP HOST AWS IAM 容器 升级 加固 监控 WORKER NODE 配置 升级 加固 监控 NETWORK 配置 VPC 网络策略 路由表 NACLs 数据 网络流量保护 客户端加密 服务端加密 EKS CONTROL PLANE CONTROL PLANE 配置 PRIVATE CONTROL RBAC 策略 © 2019, Amazon Confidential AWS Identity and Access Management (IAM) 身份验证 Kubectl 3) Authorizes AWS identity with RBAC K8s API 1) Passes AWS identity 2) Verifies AWS identity 4) K8s action allowed/denied © 2019,

Canonical Kubernetes是在不可變容器中執行，因此開箱後可立即提供卓越的安全 性，此外也會針對最近的5個Kubernetes版本提供安全性修補，作為擴展安全性維 護計畫(ESM)的一部分。與K8s RBAC, Active Directory及LDAP整合、預設CIS強化、 靜態加密以及無需停機的自動安全性更新可確保使用者獲得高度安全的 Kubernetes 部署。企業也能利用Ubuntu live Quay也可搭配使用Clair以掃描整 合的容器登錄檔，並向開發人員通知任何偵測到的漏洞。OpenShift預設具備強大的 加密功能、Kubernetes強化、身分管理及RBAC，而使用者可透過一系列獲得認證的 第三方工具，進一步提升安全性。 Rancher也支援K8 RBAC及遵循CIS Kubernetes基準的最佳實務，此外還提供強大文件， 協助使用者輕鬆強化部署，並自行評估安全性程度。Rancher還會定期執行第三方安

managed resource • Natural Kubernetes experience for operating your own resource with Kubernetes RBAC and authentication. • What it comes from • From ThirdPartyResource in Kubernetes 1.6 • Create CRD

application looks like? Replica Config LoadBalancer Rolling Update Quota Docker Image Volume RBAC Kubernetes models applications How about Kubernetes itself? How about the fleet Kubernetes running

如何与开源生态协作？ • 如何迭代、演进？ Pinterest 有赞 Kubernetes API 到底应该怎么玩儿？ Kubernetes Deployment Service Pod Node RBAC 研发 运维 K8s 团队 Ingress Kubernetes K8s 团队 运维能力的模块化描述 API 运维 研发视角的应用描述 API 研发 K8s 的 All-in-One

Notary Clair Build Image Push Image Sign Trusted Image Scan Image For CVEs kubectl apply RBAC Project Project Project Replic ation Developer Structured Data Metrics Alerts Events VMware