K8S认证、授权与准入控制(RBAC)详解
相关推荐
本文的kubernetes环境:https://blog.51cto.com/billy98/2350660
RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/
前言
- RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它将权限授予"角色"(role)之上,这一点有别于传统访问控制机制中 将权限直接赋予使用者的方式,简单点来说就是将权限绑定到role中,然后用户和role绑定,这样用户就拥有了和role一样的权限。
- 在任何将资源或服务提供给有限使用者的系统上,认证和授权都是两个必不可少的功 能,认证用于身份鉴别,而授权则实现权限分派 。 Kubemetes 以插件化的方式实现了这两种 功能,且分别存在多种可用的插件。 另外,它还支持准入控制机制,用于补充授权机制以实现更精细的访问控制功能 。
- API Server 作为 Kubernetes 集群系统的网关,是访问及管理资源对象的唯一人口,所有需要访问集群资源的组件,以及此前使用的 kubectl 命令等都要经由此网关进行集群访问和管理。
- RBAC使用
rbac.authorization.k8s.io
API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数--authorization-mode=RBAC,如果使用的kubeadm安装的集群,都默认开启了RBAC,可以通过查看 Master 节点上 apiserver 的静态Pod定义文件:[root@node-01 ~]# cat /etc/kubernetes/manifests/kube-apiserver.yaml ···- --authorization-mode=Node,RBAC···
- 如果是二进制的方式搭建的集群,添加这个参数过后,记得要重启 apiserver 服务。
RBAC API资源对象
Kubernetes有一个很基本的特性就是它的所有资源对象都是模型化的 API 对象,允许执行增、删、改、查等操作,比如下面的这下资源:
- Pods
- ConfigMaps
- Deployments
- Nodes
- Secrets
- Namespaces
上面这些资源对象的可能存在的操作有:
- create
- get
- delete
- list
- update
- edit
- watch
- exec
用户账户和用户组
Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。
客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。
而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的"人"和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Account )和服务账号 ( Service Account) 。
- Use Account(用户账号):一般是指由独立于Kubernetes之外的其他服务管理的用 户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包 含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernetes 系统中 。
- Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。
Kubernetes 有着以下几个内建的用于特殊目的的组 。
- system:unauthenticated :未能通过任何一个授权插件检验的账号,即未通过认证测 试的用户所属的组 。
- system :authenticated :认证成功后的用户自动加入的一个组,用于快捷引用所有正常通过认证的用户账号。
- system : serviceaccounts :当前系统上的所有 Service Account 对象。
- system :serviceaccounts :
Role和ClusterRole
- Role是只作用于命名空间级别的,用于定义命名空间内资源权限集合。
- ClusterRole则用于集群级别的资源权限集合,它们都是标准的 API 资源类型 。
- 一般来说, ClusterRole 的许可授权作用于整个集群,因此常用于控制 Role 无法生效的资源类型,这包括集群级别的资源(如Nodes)、非资源类型的端点(如/healthz)和作用于所有命名空间的资源(例如跨命名空间获取任何资源的权限)。
RoleBinding和ClusterRoleBinding
RoleBinding用于将Role上的许可权限绑定到一个或一组用户之上,它隶属于且仅能作用于一个命名空间。绑定时,可以引用同一名称中的Role,也可以引用集群级别的 ClusterRole。
- ClusterRoleBinding则把ClusterRole中定义的许可权限绑定在一个或一组用户之上,它仅可以引用集群级别的ClusterRole。
Role、RoleBinding、ClusterRole和ClusterRoleBinding 的关系如图 所示 。
- 一个命名空间中可以包含多个Role和RoleBinding对象,类似地,集群级别也可以同时存在多个ClusterRole和ClusterRoleBinding对 象。而一个账户也可经由RoleBinding ClusterRoleBinding关联至多个角色,从而具有多重许可授权。
下面我们来创建一个User Account,测试访问某些我们授权的资源:
创建k8s User Account
一、创建证书
创建user私钥
[root@node-01 ~]# cd /etc/kubernetes/pki/[root@node-01 pki]# (umask 077;openssl genrsa -out billy.key 2048)Generating RSA private key, 2048 bit long modulus.................................................................................+++..................+++e is 65537 (0x10001)
创建证书签署请求
O=组织信息,CN=用户名[root@node-01 pki]# openssl req -new -key billy.key -out billy.csr -subj "/O=jbt/CN=billy"
- 签署证书
[root@node-01 pki]# openssl x509 -req -in billy.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out billy.crt -days 365Signature oksubject=/O=jbt/CN=billyGetting CA Private Key
二、创建配置文件
创建配置文件主要有以下几个步骤:
kubectl config set-cluster --kubeconfig=/PATH/TO/SOMEFILE #集群配置kubectl config set-credentials NAME --kubeconfig=/PATH/TO/SOMEFILE #用户配置kubectl config set-context #context配置kubectl config use-context #切换context
- --embed-certs=true的作用是不在配置文件中显示证书信息。
- --kubeconfig=/root/billy.conf用于创建新的配置文件,如果不加此选项,则内容会添加到家目录下.kube/config文件中,可以使用use-context来切换不同的用户管理k8s集群。
- context简单的理解就是用什么用户来管理哪个集群,即用户和集群的结合。
创建集群配置
[root@node-01 pki]# kubectl config set-cluster k8s --server=https://10.31.90.200:8443 --certificate-authority=ca.crt --embed-certs=true --kubeconfig=/root/billy.confCluster "k8s" set.[root@node-01 pki]# kubectl config view --kubeconfig=/root/billy.confapiVersion: v1clusters:- cluster: certificate-authority-data: DATA+OMITTED server: https://10.31.90.200:8443 name: k8scontexts: []current-context: ""kind: Configpreferences: {}users: []
创建用户配置
[root@node-01 pki]# kubectl config set-credentials billy --client-certificate=billy.crt --client-key=billy.key --embed-certs=true --kubeconfig=/root/billy.confUser "billy" set.#查看配置文件[root@node-01 pki]# kubectl config view --kubeconfig=/root/billy.confapiVersion: v1clusters:- cluster: certificate-authority-data: DATA+OMITTED server: https://10.31.90.200:8443 name: k8scontexts: []current-context: ""kind: Configpreferences: {}users:- name: billy user: client-certificate-data: REDACTED client-key-data: REDACTED
创建context配置
[root@node-01 pki]# kubectl config set-context billy@k8s --cluster=k8s --user=billy --kubeconfig=/root/billy.confContext "billy@k8s" created.#查看配置文件[root@node-01 pki]# kubectl config view --kubeconfig=/root/billy.confapiVersion: v1clusters:- cluster: certificate-authority-data: DATA+OMITTED server: https://10.31.90.200:8443 name: k8scontexts:- context: cluster: k8s user: billy name: billy@k8scurrent-context: ""kind: Configpreferences: {}users:- name: billy user: client-certificate-data: REDACTED client-key-data: REDACTED
切换context
[root@node-01 pki]# kubectl config use-context billy@k8s --kubeconfig=/root/billy.confSwitched to context "billy@k8s".#查看配置文件[root@node-01 pki]# kubectl config view --kubeconfig=/root/billy.confapiVersion: v1clusters:- cluster: certificate-authority-data: DATA+OMITTED server: https://10.31.90.200:8443 name: k8scontexts:- context: cluster: k8s user: billy name: billy@k8scurrent-context: billy@k8skind: Configpreferences: {}users:- name: billy user: client-certificate-data: REDACTED client-key-data: REDACTED
创建系统用户及k8s验证文件
[root@node-01 ~]# useradd billy #创建什么用户名都可以[root@node-01 ~]# mkdir /home/billy/.kube[root@node-01 ~]# cp billy.conf /home/billy/.kube/config[root@node-01 ~]# chown billy.billy -R /home/billy/.kube/[root@node-01 ~]# su - billy[billy@node-01 ~]$ kubectl get podError from server (Forbidden): pods is forbidden: User "billy" cannot list resource "pods" in API group "" in the namespace "default"#默认新用户是没有任何权限的。
创建Role
此role只有pod的get、list、watch权限
[root@node-01 rbac]# cat pods-reader.yaml apiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: pods-readerrules:- apiGroups: - "" resources: - pods verbs: - get - list - watch[root@node-01 rbac]# kubectl apply -f pods-reader.yaml role.rbac.authorization.k8s.io/pods-reader created
创建Rolebinding
用户billy和role pods-reader的绑定
[root@node-01 rbac]# cat billy-pods-reader.yaml apiVersion: rbac.authorization.k8s.io/v1kind: RoleBindingmetadata: name: billy-pods-readerroleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: pods-readersubjects:- apiGroup: rbac.authorization.k8s.io kind: User name: billy[root@node-01 rbac]# kubectl apply -f billy-pods-reader.yaml rolebinding.rbac.authorization.k8s.io/billy-pods-reader created
验证结果
如果没有指定命名空间的话,默认就是default命名空间。
[billy@node-01 ~]$ kubectl get podNAME READY STATUS RESTARTS AGEnginx-demo-95bd675d5-66xrm 1/1 Running 0 18dtomcat-5c5dcbc885-7vr68 1/1 Running 0 18d[billy@node-01 ~]$ kubectl -n kube-system get podError from server (Forbidden): pods is forbidden: User "billy" cannot list resource "pods" in API group "" in the namespace "kube-system"
所以我们是可以查看查看default命名空间的pod,但是其他空间的pod是无法查看的。
创建ClusterRole
[root@node-01 rbac]# cat cluster-reader.yaml apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRolemetadata: name: cluster-readerrules:- apiGroups: - "" resources: - pods verbs: - get - list - watch[root@node-01 rbac]# kubectl apply -f cluster-reader.yaml clusterrole.rbac.authorization.k8s.io/cluster-reader created
创建ClusterRoleBinding
[root@node-01 rbac]# cat billy-read-all-pods.yamlapiVersion: rbac.authorization.k8s.io/v1beta1kind: ClusterRoleBindingmetadata: name: billy-read-all-podsroleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-readersubjects:- apiGroup: rbac.authorization.k8s.io kind: User name: billy[root@node-01 rbac]# kubectl apply -f billy-read-all-pods.yaml clusterrolebinding.rbac.authorization.k8s.io/billy-read-all-pods created
验证结果
创建了ClusterRole和ClusterRoleBinding后就可以看到所有命名空间的pod了。
[billy@node-01 ~]$ kubectl get podNAME READY STATUS RESTARTS AGEnginx-demo-95bd675d5-66xrm 1/1 Running 0 18dtomcat-5c5dcbc885-7vr68 1/1 Running 0 18d[billy@node-01 ~]$ kubectl -n kube-system get podNAME READY STATUS RESTARTS AGEcanal-gd4qn 2/2 Running 0 21dcert-manager-6464494858-wqpnb 1/1 Running 0 18dcoredns-7f65654f74-89x69 1/1 Running 0 18dcoredns-7f65654f74-bznrl 1/1 Running 2 54d...
ServiceAccount
至于ServiceAccount怎么授权,其实相对user account来说更简单,只需先创建ServiceAccount,然后创建role或者ClusterRole,最后在RoleBinding或ClusterRoleBinding绑定即可。以下简单做一个示例,就不在显示结果了,大家可以自己去验证。
创建SA
kubectl create sa billy-sa
创建Role
[root@node-01 rbac]# cat billy-sa-role.yaml apiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: billy-sa-rolerules:- apiGroups: - "" resources: - pods verbs: - get - list - watch
创建Rolebinding
将billy-sa和billy-sa-role的绑定
[root@node-01 rbac]# cat billy-sa-rolebinding.yaml apiVersion: rbac.authorization.k8s.io/v1kind: RoleBindingmetadata: name: billy-sa-rolebindingroleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: billy-sa-rolesubjects:- kind: ServiceAccount name: billy-sa
验证结果
创建完SA之后系统会自动创建一个secret,我们可以获取这个secret里面的token去登录dashboard,就可以看到相应有权限的资源。
kubectl get secret billy-sa-token-9rc55 -o jsonpath={.data.token} |base64 -d
还可以在创建pod时在pod的spec里指定serviceAccountName,那么这个pod就拥有了对应的权限,具体的就不在演示了。
本次的分享就到此,如有问题欢迎在下面留言交流,希望大家多多关注和点赞,谢谢!