什么是 Kubernetes RBAC
基于角色的访问控制(Role-Based Access Control, 即 "RBAC")
:使用 “rbac.authorization.k8s.io” API Group 实现授权决策,允许管理员通过 Kubernetes API 动态配置策略。
RBAC 从 Kubernetes v1.6 处于beta版本
,从 v1.8 开始
,RBAC已作为 稳定的功能
。启用 RBAC,请使用 --authorization-mode=RBAC
启动 API Server。[1]
API 概述
本节将介绍RBAC API
所定义的四种顶级类型
。用户可以像使用其他Kubernetes API资源一样 (例如通过kubectl、API调用等)与这些资源进行交互。例如,命令 kubectl create -f (resource).yml
可以被用于以下所有的例子,当然,读者在尝试前可能需要先阅读以下相关章节的内容。[1]
RBAC 简易概览图
ClusterRole 与 Role
Role(角色)
:是一系列权限的集合,例如一个角色可以包含读取 Pod 的权限和列出 Pod 的权限。Role 只能用来给某个特定 namespace 中的资源作鉴权
。对 namespace 、集群级资源 和 非资源类的 API(如 /healthz)使用 ClusterRole
ClusterRole
: 对象可以授予与 Role 对象相同的权限,但由于它们属于集群范围对象,也可以使用它们授予对以下几种资源的访问权限:
- 集群范围资源(例如节点,即 node)
- 非资源类型 endpoint(例如 /healthz)
- 授权多个 Namespace
下面例子描述了 default namespace 中的一个 Role 对象的定义,用于授予对 pod 的读访问权限
1 | kind: Role |
下面例子中 ClusterRole 定义可用于授予用户对某一个 namespace
,或者 所有 namespace
的 secret(取决于其绑定方式)的读访问权限
1 | kind: ClusterRole |
ClusterRoleBinding 与 RoleBinding
RoleBinding
:把 Role 或 ClusterRole 中定义的各种权限映射到 User,Service Account 或者 Group,从而让这些用户继承角色在 namespace 中的权限。
ClusterRoleBinding
: 让用户继承 ClusterRole 在整个集群中的权限。
RoleBinding
可以引用在同一命名空间内定义的Role对象。
1 | # 以下角色绑定定义将允许用户 "jane" 从 "default" 命名空间中读取pod |
RoleBinding
对象也可以引用一个 ClusterRole
对象用于在 RoleBinding
所在的命名空间内授予用户对所引用的ClusterRole
中定义的命名空间资源的访问权限。这一点允许管理员在整个集群范围内首先定义一组通用的角色,然后再在不同的命名空间中复用这些角色。
例如,尽管下面示例中的 RoleBinding 引用的是一个 ClusterRole 对象,但是用户”dave”(即角色绑定主体)还是只能读取”development” 命名空间中的 secret(即RoleBinding所在的命名空间)
1 | # 以下角色绑定允许用户"dave"读取"development"命名空间中的secret。 |
最后,可以使用 ClusterRoleBinding
在集群级别和所有命名空间中授予权限。下面示例中所定义的 ClusterRoleBinding
允许在用户组 ”manager” 中的任何用户都可以读取集群中任何命名空间中的 secret 。
1 | # 以下`ClusterRoleBinding`对象允许在用户组"manager"中的任何用户都可以读取集群中任何命名空间中的secret。 |
对资源的引用
大多数资源由代表其名字的字符串表示,例如 ”pods”,就像它们出现在相关API endpoint 的URL中一样。然而,有一些Kubernetes API还 包含了”子资源”,比如 pod
的 logs
。在Kubernetes中,pod logs endpoint的URL格式为:
GET /api/v1/namespaces/{namespace}/pods/{name}/log
在这种情况下,”pods”是命名空间资源,而”log”是pods的子资源。为了在RBAC角色中表示出这一点,我们需要使用斜线来划分资源 与子资源。如果需要角色绑定主体读取pods以及pod log,您需要定义以下角色:
1 | kind: Role |
通过 resourceNames
列表,角色可以针对不同种类的请求根据资源名引用资源实例。当指定了 resourceNames
列表时,不同动作 种类的请求的权限,如使用 ”get”、”delete”、”update”以及”patch”等动词的请求,将被限定到资源列表中所包含的资源实例上。 例如,如果需要限定一个角色绑定主体只能 ”get” 或者 ”update” 一个 configmap
时,您可以定义以下角色:
1 | kind: Role |
值得注意的是,如果设置了 resourceNames
,则请求所使用的动词不能是 list、watch、create或者deletecollection
。 由于资源名不会出现在 create、list、watch和deletecollection
等API请求的URL中,所以这些请求动词不会被设置了resourceNames
的规则所允许,因为规则中的 resourceNames
部分不会匹配这些请求。 [1]
例子
绑定用户能查看所有 namespace
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
# 鉴于ClusterRole是集群范围对象,所以这里不需要定 义"namespace"字段
name: view-namespace-clusterrole
rules:
- apiGroups:
- ""
resources:
- namespaces
- namespaces/status
verbs:
- get
- list
- watch定义
develop-role
用户对default
命名空间详细权限1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: develop-role
namespace: default
rules:
- apiGroups:
- ""
resources:
- endpoints
- serviceaccounts
- configmaps
- persistentvolumeclaims
- persistentvolumes
- services
- replicationcontrollers
- replicationcontrollers/scale
verbs:
- get
- list
- watch
- apiGroups:
- ""
resources:
- pods
- pods/log
- pods/status
- pods/exec
verbs:
- create
- delete
- deletecollection
- patch
- update
- get
- list
- watch
- apiGroups:
- ""
resources:
- bindings
- events
- limitranges
- namespaces/status
- replicationcontrollers/status
- resourcequotas
- resourcequotas/status
verbs:
- get
- list
- watch
- apiGroups:
- ""
resources:
- namespaces
verbs:
- get
- list
- watch
- apiGroups:
- apps
resources:
- daemonsets
- statefulsets
verbs:
- get
- list
- watch
- apiGroups:
- apps
resources:
- deployments
- deployments/scale
- replicasets
- replicasets/scale
verbs:
- get
- list
- watch
- update
- apiGroups:
- autoscaling
resources:
- horizontalpodautoscalers
verbs:
- get
- list
- watch
- apiGroups:
- batch
resources:
- cronjobs
- jobs
verbs:
- get
- list
- watch
- apiGroups:
- extensions
resources:
- daemonsets
- statefulsets
- ingresses
- networkpolicies
verbs:
- get
- list
- watch
- apiGroups:
- extensions
resources:
- deployments
- deployments/scale
- replicasets
- replicasets/scale
- replicationcontrollers/scale
verbs:
- get
- list
- watch
- update
- apiGroups:
- policy
resources:
- poddisruptionbudgets
verbs:
- get
- list
- watch
- apiGroups:
- networking.k8s.io
resources:
- networkpolicies
verbs:
- get
- list
- watch
默认角色 与 默认角色绑定
API Server
会创建一组默认的 ClusterRole
和 ClusterRoleBinding
对象。 这些默认对象中有许多包含 system:
前缀,表明这些资源由 Kubernetes基础组件”拥有”
。 对这些资源的修改可能导致非功能性集群
(non-functional cluster)。一个例子是 system:node ClusterRole
对象。 这个角色定义了 kubelet
的权限。如果这个角色被修改,可能会导致kubelet
无法正常工作。
所有默认的 ClusterRole
和 ClusterRoleBinding
对象都会被标记为 kubernetes.io/bootstrapping=rbac-defaults
。 [1]
面向用户的角色
通过命令 kubectl get clusterrole
查看到并不是所有都是以 system:前缀
,它们是面向用户的角色
。 这些角色包含超级用户角色(cluster-admin
),即旨在利用 ClusterRoleBinding(cluster-status)
在集群范围内授权的角色, 以及那些使用 RoleBinding(admin、edit和view)
在特定命名空间中授权的角色。
cluster-admin
:超级用户权限
,允许对任何资源执行任何操作。 在 ClusterRoleBinding 中使用时,可以完全控制集群和所有命名空间中的所有资源。 在 RoleBinding 中使用时,可以完全控制 RoleBinding 所在命名空间中的所有资源,包括命名空间自己。admin
:管理员权限
,利用 RoleBinding 在某一命名空间内部授予。 在 RoleBinding 中使用时,允许针对命名空间内大部分资源的读写访问, 包括在命名空间内创建角色与角色绑定的能力。 但不允许对资源配额(resource quota)
或者命名空间本身
的写访问
。edit
:允许对某一个命名空间内大部分对象的读写访问,但不允许查看或者修改角色或者角色绑定。view
:允许对某一个命名空间内大部分对象的只读访问。 不允许查看角色或者角色绑定。 由于可扩散性等原因,不允许查看 secret 资源
。
核心组件角色、其它组件角色 和 控制器(Controller)角色 这里不在一一列出。具体见参考链接中[1]。
Permissive RBAC
所谓 Permissive RBAC
是指授权给所有的 Service Accounts
管理员权限。不推荐的配置
1 | $ kubectl create clusterrolebinding permissive-binding \ |
创建用户 shell 脚本
1 |
|
参考链接
- [1] https://jimmysong.io/kubernetes-handbook/concepts/rbac.html
- https://www.shipengqi.top/kubernetes-learn/auth/rbac.html
- https://juejin.im/entry/5b23280ce51d4558cd2acdea
---本文结束感谢您的阅读。微信扫描二维码,关注我的公众号---
本文链接: https://www.yp14.cn/2019/12/09/Kubernetes-必须掌握技能之-RBAC/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!