文档中心

上云无忧 > 文档中心 > 百度智能云容器引擎服务 CCE 集群 OIDC 认证
百度智能云
容器引擎服务CCE
简介/价格/文档
百度智能云容器引擎服务 CCE 集群 OIDC 认证

文档简介:
本文介绍 CCE 集群 OIDC 认证、启用说明,以及如何与 RBAC 结合使用。 认证说明: CCE 集群 OIDC 认证依赖百度云 IAM 的身份认证。支持 IAM 用户、IAM 角色认证。 CCE 集群默认仅支持基于 X509 证书的认证方式。仅新版 CCE 集群支持在创建时选择开启 OIDC 认证。
*此产品及展示信息均由百度智能云官方提供。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠



本文介绍 CCE 集群 OIDC 认证、启用说明,以及如何与 RBAC 结合使用。

认证说明

  • CCE 集群 OIDC 认证依赖百度云 IAM 的身份认证。支持 IAM 用户、IAM 角色认证。
  • CCE 集群默认仅支持基于 X509 证书的认证方式。仅新版 CCE 集群支持在创建时选择开启 OIDC 认证。
  • CCE 集群开启 OIDC 认证后,基于 X509 证书的认证能力依然保留。
  • CCE 集群开启 OIDC 认证后,支持通过 AssumeRole 的方式操作集群资源。

启用步骤

  1. 创建集群

登录百度智能云控制台,进入 "产品服务 > 容器引擎 CCE";在左侧导航栏,依次点击 "集群管理 > 集群列表 > 创建集群 (新版)",进入集群创建页面:

  1. 在高级设置中,勾选OIDC认证,如上图。然后按照一般步骤完成集群创建。
  2. 在集群列表页,下载基于 OIDC 的 KubeConfig 文件,基于该文件可以通过 OIDC 认证访问集群

  1. 通过 KubeConfig 或者直接在控制台操作集群资源,请先确保进行操作的子用户 (通过子用户访问时),或者用户所切换的 IAM Role (通过 AssumeRole 访问时) 已经提前被赋予相应的 RBAC 权限。具体见下文 『权限管理』。

权限管理

OIDC 仅仅解决集群认证问题,集群认证通过后,开始进行鉴权操作 (一般基于 RBAC)。需要事先为用户或者 IAM Role 绑定相应的 RBAC 权限,才能正常操作集群资源。

主用户

主用户默认具备集群管理员权限,即可以操作集群全部资源,无需再绑定 RBAC 权限。

子用户

对于子用户的权限绑定,有以下两种方式可选:

  1. 通过 CCE 控制台为子用户绑定 RBAC 权限,详情参考:子用户 RBAC 权限配置

  2. 手动在集群创建 ClusterRole/Role 和 ClusterRoleBinding/RoleBinding,详情参考:K8s RBAC 官方文档。示例如下: 

    kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: custom-cluster-role rules:

    注意: ClusterRoleBinding/RoleBinding 中的 subjects.kind = User,subjects.name = 子用户 ID。 

  3.  - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] --- apiVersion: rbac.authorization.k8s.io/v1 kind:
  4.  RoleBinding metadata: namespace: default name: custom-role-binding roleRef: apiGroup: rbac.authorization.k8s.io kind:
  5.  ClusterRole name: custom-cluster-role subjects: - apiGroup: rbac.authorization.k8s.io kind: User name:
  6.  294ae2c68794fb1ab58e71fbc8ef338

IAM Role

IAM Role 目前只能通过手动在集群中创建 ClusterRole/Role 和 ClusterRoleBinding/RoleBinding 方式绑定 RBAC 权限,示例如下: 


kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: custom-cluster-role rules: - apiGroups:
 [""] resources: ["pods"] verbs: ["get", "watch", "list"] --- apiVersion: rbac.authorization.k8s.io/v1 kind:
 RoleBinding metadata: namespace: default name: custom-role-binding roleRef: apiGroup: rbac.authorization.k8s.io kind: 
ClusterRole name:custom-cluster-role subjects: - apiGroup: rbac.authorization.k8s.io kind: Group name:
 7e442e97bba54d9ea0d8da1fcacecd7a


注意:ClusterRoleBinding/RoleBinding 中的 subjects.kind = Group,subjects.name = IAM Role ID;不要混淆 IAM Role 和 K8s Role,IAM Role 会被映射为集群中的 Group,Group name 等于 IAM Role ID。按照示例给 Group 绑定了 RBAC 权限后,那么扮演该 IAM Role 的用户就会获得相同的 RBAC 权限。



相似文档
  • 百度智能云容器引擎服务 CCE 镜像仓库基本操作
    镜像仓库为您提供安全可靠、简单易用的容器镜像托管服务,为您降低Registry的搭建运维成本,提升云原生应用的交付能力和体验。 您可以使用容器引擎CCE提供的镜像仓库功能 容器引擎-镜像仓库。
  • 百度智能云容器引擎服务 CCE 使用容器镜像构建服务
    百度智能云镜像构建服务支持在页面上配置基于代码仓库或Dockerfile的镜像构建规则,并由用户手动触发/代码仓库变更自动触发镜像构建,打通用户代码变更到容器部署的中间环节,方便用户更高效便捷地部署容器化服务。 注:Dockerfile中可以记录构建Docker镜像所需的一系列命令和参数,关于Dockerfile的格式和编写方法,请参考Docker官方文档。
  • 百度智能云容器引擎服务 CCE 管理虚拟节点
    本文档主要介绍虚拟节点和BCI,以及如何通过在CCE中创建虚拟节点创建BCI Pod。 百度智能云容器实例BCI提供无服务器化的容器资源。您只需提供容器镜像及启动容器所需的配置参数,即可运行容器,而无需关心这些容器如何被调度部署到底层的物理服务器资源中。
  • 百度智能云容器引擎服务 CCE 配置BCIPod
    配置CPU和Memory资源: 当前支持通过指定Pod中每个容器的resources.requests,对BCI实例的规格进行配置。若不指定,则默认单个容器使用的资源的是1vCPU+2GiB内存。对应BCI实例的计费资源为Pod中所有容器资源的总和。
  • 百度智能云容器引擎服务 CCE Serverless集群概述
    本文介绍百度云CCE Serverless Kubernetes集群的产品简介,核心优势,产品定价及与普通CCE集群的对比,帮助您快速了解和使用Serverless Kubernetes集群。 CCE Serverless Kubernetes集群是百度云容器引擎服务(CCE)推出的无服务器版本Kubernetes集群。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部