当前位置 : 主页 > 操作系统 > centos >

K8S(十二)RBAC

来源:互联网 收集:自由互联 发布时间:2022-06-20
(一)、RBAC概述 在K8S中授权ABAC(基于属性的访问控制)、RBAC(基于访问的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直访问)等6中模式,从1.6版本起,K8S默认启用RBAC访

(一)、RBAC概述

在K8S中授权ABAC(基于属性的访问控制)、RBAC(基于访问的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直访问)等6中模式,从1.6版本起,K8S默认启用RBAC访问控制策略,目前RBAC已作为稳定的功能,通过启用-authorization-mode=RBAC 来启用RABC.

在RBAC api中,通过如下步骤进行授权:1、定义角色:在定义角色时会指定此角色对于资源访问控制的规则;2、绑定角色:将主体与角色进行绑定,对用户进行访问授权;

RBAC.png

(二)、RBAC资源对象说明

RBAC引入了四个新的顶级资源对象。Role、ClusterRole、RoleBinding、 ClusterRoleBinding。同其他 API 资源对象一样,用户可以使用 kubectl 或者 API 调用等 方式操作这些资源对象。

2.1、角色

一个角色就是一组权限的集合,这里的权限都是许可形式的,不存在拒绝的规则。在一个 命名空间中,可以用角色来定义一个角色,如果是集群级别的,就需要使用 ClusterRole 了。角色只能对命名空间内的资源进行授权,下面的例子中定义的角色具备读取Pod的权限:

[root@k8s-master role]# cat role.yaml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: prod-read rules: - apiGroups: [""] resources: ["prod"] verbs: ["get","watch","list"] [root@k8s-master role]# kubectl apply -f role.yaml role.rbac.authorization.k8s.io/prod-read created [root@k8s-master role]# kubectl get role -owide NAME CREATED AT prod-read 2022-01-04T09:55:05Z

集群角色ClusterRole能够被授予如下资源权限:集群范围的资源(类似于Node)非资源端点(类似于healthz)集群中所有命名空间资源(类似于Pod)

下面是授予集群角色读取password字典文件访问权限

[root@k8s-master role]# kubectl apply -f clusterrole.yaml clusterrole.rbac.authorization.k8s.io/secret-reader created [root@k8s-master role]# cat clusterrole.yaml kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: secret-reader rules: - apiGroups: [""] resources: ["secrets"] verbs: ["get","watch","list"]

2.2、角色绑定和集群角色绑定

角色绑定用于将角色一一个或一组用户进行绑定,从而实现对用户进行授权的目的。主体分为用户、组和服务账号。角色绑定也可以分为普通角色绑定和集群角色绑定。角色绑定只能引用到同一个命名空间下得角色。如,在default命名空间中角色绑定将kevin用户和prod-reader角色进行绑定,授权了Kevin能够访问default命名空间先的pod

[root@k8s-master role]# kubectl apply -f role-bond.yml rolebinding.rbac.authorization.k8s.io/read-pods created [root@k8s-master role]# cat role-bond.yml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: read-pods namespace: default subjects: - kind: User name: kevin apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io [root@k8s-master role]# kubectl get role,rolebinding -owide NAME CREATED AT role.rbac.authorization.k8s.io/prod-read 2022-01-04T09:55:05Z NAME ROLE AGE USERS GROUPS SERVICEACCOUNTS rolebinding.rbac.authorization.k8s.io/read-pods Role/pod-reader 110s kevin

角色绑定也可以通过引用集群角色授予访问权限,当主体对资源的访问仅限于本命名空间,这就允许管理员定义整个集群的公共角色集合,然后在多个命名空间中进行复用

2.3、资源

在k8s中,主要的资源包括:pod、node、service、deployment、replicasets、statefulsets、namespace、persistents、secret、configmap等等,有些资源下边存在子资源。

GET /api/v1/namespaces/{namespace}/pods/{name}/log

可以对pod和pods/log进行访问

[root@k8s-master role]# kubectl apply -f pod-log role.rbac.authorization.k8s.io/pod-and-pod-logs-reader created [root@k8s-master role]# cat pod-log kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: pod-and-pod-logs-reader rules: - apiGroups: [""] resources: ["pods","pods/log"] verbs: ["get","list"]

通过resourceNames指定特定的资源实例,以限制角色只能够对实例进行访问控制

[root@k8s-master role]# kubectl apply -f resource-access.yml role.rbac.authorization.k8s.io/configmap-updater created [root@k8s-master role]# cat resource-access.yml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: configmap-updater rules: - apiGroups: [""] resources: ["configmaps"] resourceNames: ["my-confi

2.4、主体

RBAC授权中的主体可以是组,用户或者服务帐户。用户通过字符串表示,比如“alice”、“kevin"具体的形式取决于管理员在认证模块中所配置的用户名。system:被保留作为用来Kubernetes系统使用,因此不能作为用户的前缀。组也有认证模块提供,格式与用户类似。角色绑定主体的列子有如下:1.名称为 “alice@example.com”用户:

subjects: - kind: User name: "alice@example.com" apiGroup: rbac.authorization.k8s.io

2.名称为“frontend-admins”的组:

subjects: - kind: Group name: "frontend-admins" apiGroup: rbac.authorization.k8s.io

3.在kube-system命名空间中,名称为“default”的服务帐户:

subjects: - kind: ServiceAccount name: default namespace: kube-system

4.在“qa”命名空间中,所有的服务帐户:

subjects: - kind: Group name:system: serviceaccounts:qa apiGroup: rbac.authorization.k8s.io

5.所有的服务帐户:

subjects: - kind: Group name: system:serviceaccounts apiGroup: rbac.authorization.k8s.io

6.所有被认证的用户 (version 1.5+):

subjects: - kind: Group name:system: authenticated apiGroup: rbac.authorization.k8s.io

7.所有未被认证的用户 (version 1.5+):

subjects: - kind:Group name:system:unauthenticated apiGroup:rbac.authorization.k8s.io

8.所有用户(version 1.5+):

subjects: - kind: Group name: system:authenticated apiGroup: rbac.authorization.k8s.io - kind: Group name: system:unauthenticated apiGroup: rbac.authorization.k8s.io

(三)、命令行工具

K8S可以通过命令行工具进行角色绑定

3.1、kubecet create rolebinding

###在test命名空间中,将admin角色授权给bob [root@k8s-master role]# kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=test rolebinding.rbac.authorization.k8s.io/bob-admin-binding created ###在test命名空间中,将admin集群角色授予acme:myapp服务账号 [root@k8s-master role]# kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=test rolebinding.rbac.authorization.k8s.io/myapp-view-binding created

3.2、kubectl create clusterrolebinding

在整个集群中进行角色绑定:1.在整个集群中,授予”cluster-admin“集群角色给”root“用户:

[root@k8s-master role]# kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root clusterrolebinding.rbac.authorization.k8s.io/root-cluster-admin-binding created

2.在整个集群中,授予”system:node”集群角色给“kubelet”用户:

[root@k8s-master role]# kubectl create clusterrolebinding kubelet-node-binding --clusterrole=system:node --user=kubelet clusterrolebinding.rbac.authorization.k8s.io/kubelet-node-binding created

3.在整个集群中,授予”view”集群角色给”acme:myapp”服务帐户:

[root@k8s-master role]# kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp clusterrolebinding.rbac.authorization.k8s.io/myapp-view-binding created

(四)、服务账号权限

默认情况下,RBAC策略授予控制板组件、Node和控制器作用域的权限,但是未授予“kube-system”命名空间外服务帐户的访问权限。这就允许管理员按照需要将特定角色授予服务帐户。从最安全到最不安全的顺序,方法如下:

1)授予角色给一个指定应用的服务帐户(最佳实践)

这要求在Pod规格中指定serviveAccountName,同时此服务帐户已被创建(通过API、kubectl create serviceaccount等)。例如,在“test”命名空间内,授予”my-sa”服务帐户“view”集群角色:

[root@k8s-master role]# kubectl create rolebinding my-sa-view --clusterrole=view --serviceaccount=my-namespace:my-sa --namespace=test rolebinding.rbac.authorization.k8s.io/my-sa-view created

2)在一个命名空间授予“view”集群角色给“default”服务帐户

如果应用没有指定serviceAccountName,它将使用”default” 服务帐户。例如,例如,在“test”命名空间内,授予”default”服务帐户“view”集群角色:

[root@k8s-master role]# kubectl create rolebinding default-view --clusterrole=view --serviceaccount=test:default --namespace=test rolebinding.rbac.authorization.k8s.io/default-view created

当前,在”kube-system“命名空间中,很多插件作为”default“服务帐户进行运行。为了允许超级用户访问这些插件,在“kube-system”命名空间中授予”cluster-admin“角色给”default”帐户。

[root@k8s-master role]# kubectl create clusterrolebinding add-on-cluster-admin --clusterrole=cluster-admin --serviceaccount=kube-system:default clusterrolebinding.rbac.authorization.k8s.io/add-on-cluster-admin created

3)在一个命名空间中,授予角色给所有的服务帐户:

如果希望在一个命名空间中的所有应用都拥有一个角色,而不管它们所使用的服务帐户,可以授予角色给服务帐户组。例如,在“my-namespace”命名空间中,将”view“集群角色授予“system:serviceaccounts:my-namespace“组:

[root@k8s-master role]# kubectl create rolebinding serviceaccounts-view --clusterrole=view --group=system:serviceaccounts:test --namespace=test rolebinding.rbac.authorization.k8s.io/serviceaccounts-view created

4)在整个集群中授予一个角色给所有的服务帐户 (不推荐)

如果不想按照每个命名空间管理权限,可以在整个集群的访问进行授权。例如,在整个集群层面,将”view“集群角色授予“sytem:serviceaccounts“:

[root@k8s-master role]# kubectl create clusterrolebinding serviceaccounts-view --clusterrole=view --group=system:serviceaccounts clusterrolebinding.rbac.authorization.k8s.io/serviceaccounts-view created

5)在整个集群中授予超级用户访问所有的服务帐户 (强烈不推荐)

如果对访问权限不太重视,可以授予超级用户访问所有的服务帐户。

[root@k8s-master role]# kubectl create clusterrolebinding serviceaccounts-cluster-admin --clusterrole=cluster-admin --group=system:serviceaccounts clusterrolebinding.rbac.authorization.k8s.io/serviceaccounts-cluster-admin created

6)宽松的RBAC权限

下面的策略允许所有的服务帐户作为集群管理员。在容器中运行的应用将自动的收取到服务帐户证书,并执行所有的API行为。包括查看保密字典恩将和修改权限,这是不被推荐的访问策略。

[root@k8s-master role]# kubectl create clusterrolebinding permissive-binding --clusterrole=cluster-admin --user=admin --user=kubelet --group=system:serviceaccounts clusterrolebinding.rbac.authorization.k8s.io/permissive-binding created
上一篇:HTML、HTTP 以及 LAMP源码安装
下一篇:没有了
网友评论