千家信息网

kubernetes基于角色授权

发表于:2024-11-20 作者:千家信息网编辑
千家信息网最后更新 2024年11月20日,网上很少有地方涉及到在角色授权时,如何对User Group授权。我们都知道在做角色绑定的时候,会有kind: User,kind: Group,但是实际上,Kubernetes并没有提供User、G
千家信息网最后更新 2024年11月20日kubernetes基于角色授权

网上很少有地方涉及到在角色授权时,如何对User Group授权。我们都知道在做角色绑定的时候,会有kind: User,kind: Group,但是实际上,Kubernetes并没有提供User、Group资源创建接口,那这两个怎么使用呢?下面以一个实例来说明一下

前提条件:kube-apiserver必须是运行在安全端口模式下,这里基于CA根证书签名的双向数字证书认证方式。

1、先创建Role

role-demo.yaml 内容如下:

apiVersion: rbac.authorization.k8s.io/v1

kind: Role

metadata:

name: pods-reader

namespace: default

rules:

- apiGroups:

- ""

resources:

- pods

verbs:

- get

- list

- watch


2、绑定角色,将权限授予到真正角色上

编辑rolebinding-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: RoleBinding

metadata:

creationTimestamp: null

name: kubelet-read-pods

roleRef:

apiGroup: rbac.authorization.k8s.io

kind: Role

name: pods-reader

subjects:

- apiGroup: rbac.authorization.k8s.io

kind: Group

name: app1

这里将赋予组app1只能查看namespace为default的pod权限。Kind也可以为user。

3、创建用户和组

现在就可以创建用户和组,CA的方式通过openssl就可以做到

3.1 创建用户jbeda,并同时属于组app1、app2

openssl genrsa -out jbeda.key 2048

openssl req -new -key jbeda.key -out jbeda.csr -subj "/CN=jbeda/O=app1/O=app2"

openssl x509 -req -in jbeda.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out jbeda.crt -days 365

jbeda.key、jbeda.crt 复制到/etc/kubernetes/ssl/目录下

l jbeda/O=app1/O=app2 这个代表创建了用户jbeda,且该用户属于组app1、app2

l ca.crt ca.key是根证书,这个是为kube-apiserver创建的,所有的客户端都是利用它签名的。这里不重复它的创建过程。

3.2 测试权限

Ø 配置使用的调用接口使用的角色

这里使用kubectl,编译~/.kube/config

apiVersion: v1

kind: Config

clusters:

- cluster:

server: https://10.8.8.27:6443

certificate-authority: /etc/kubernetes/ssl/ca.crt

name: local

users:

- name: jbeda

user:

client-certificate : /etc/kubernetes/ssl/jbeda.crt

client-key: /etc/kubernetes/ssl/jbeda.key

contexts:

- context:

cluster: local

user: jbeda

name: local

current-context: local

Ø 查看pod

查看kubectl当前使用的config

可以看到只能查看namespace为default下的pod信息

RBAC还可以用service account的方式认证,网上有太多资料,这里不多做介绍。


0