K8S RBAC 鉴权

最新推荐文章于 2024-07-06 20:07:09 发布
最新推荐文章于 2024-07-06 20:07:09 发布
阅读量1k 收藏 30
点赞数 30
分类专栏: 容器 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39965541/article/details/138275703
版权

介绍

K8S(Kubernetes)的RBAC(Role-Based Access Control,基于角色的访问控制)是一种权限控制机制,它允许管理员通过定义角色来限制用户对集群资源的访问权限。RBAC是Kubernetes中一个核心的授权策略,通过它,管理员可以实施精细化的权限管理,确保只有经过授权的用户或用户组才能执行特定的操作。

RBAC在Kubernetes中主要由四个关键组件构成:Role、ClusterRole、RoleBinding和ClusterRoleBinding。

  • Role:用于定义对命名空间内资源的访问权限。Role只能用于授予对某个特定命名空间中资源的访问权限。
  • ClusterRole:与Role类似,但用于定义对集群范围内资源的访问权限。ClusterRole可以授予对集群中所有命名空间的资源或非资源端点的访问权限。
  • RoleBinding:用于将Role绑定到一个或多个用户、服务账户或用户组,从而控制这些实体对命名空间内资源的访问。
  • ClusterRoleBinding:用于将ClusterRole绑定到一个或多个用户、服务账户或用户组,控制这些实体对集群范围内资源的访问。

使用RBAC时,管理员可以定义角色,并为这些角色分配适当的权限。然后,通过RoleBinding或ClusterRoleBinding将角色绑定到特定的用户或用户组。这样,用户只能执行其角色所允许的操作,而无法访问或修改未授权的资源。

Role 和 ClusterRole

Role 举例

下面是一个位于 “default” 名字空间的 Role 的示例,可用来授予对 Pod 的读访问权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

字段解释

  • apiVersion 指定了 Kubernetes API 的版本,这里是 rbac.authorization.k8s.io/v1,表示使用了 Kubernetes 的 RBAC API 版本
  • kind 指定了 Kubernetes 资源的类型,这里是 Role,表示定义了一个角色。
  • rules 指定了角色的权限规则。
  • apiGroups 指定了 API 组,这里是 [“”],表示核心 API 组。
  • resources 指定了资源类型,这里是 [“pods”],表示 Pods 资源。
  • verbs 指定了允许的操作,这里是 [“get”, “watch”, “list”],表示允许执行 get、watch 和 list 操作。

apiGroups 介绍

核心 API 组:

  • pods: Pod 是 Kubernetes 中最小的可部署对象,代表集群中的一个运行中的应用程序实例。
  • services: Service 定义了一组Pod的逻辑集合以及访问这些Pod的策略,通常用于创建应用程序的网络端点。
  • nodes: Node 是 Kubernetes 集群中的一个工作节点,可以是虚拟机或物理机器。
  • namespaces: Namespace 是 Kubernetes 中用于多租户的虚拟集群的一种方式。它允许将 Kubernetes 集群划分为多个虚拟集群,以便在同一集群中运行多个团队或用户的应用程序。
  • persistentvolumes: PersistentVolume(PV)是 Kubernetes 中的一种 API 对象,它抽象了存储系统,为用户提供了一种将存储挂载到 Pod 中的方式。
  • persistentvolumeclaims: PersistentVolumeClaim(PVC)是 Kubernetes 中的一种 API 对象,它是 Pod 中对存储资源的一种请求。

describe 查看

[root@master01 yaml]# kubectl describe role pod-reader 
Name:         pod-reader
Labels:       <none>
Annotations:  <none>
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
  pods       []                 []              [get watch list]

apiGroups 组查看

kubectl api-resources --verbs list

列举几种用法

在 RBAC 角色表达子资源时,使用斜线(/)来分隔资源和子资源。 要允许某主体读取 pods 同时访问这些 Pod 的 log 子资源,可以这样写:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-and-pod-logs-reader
rules:
- apiGroups: [""]
  resources: ["pods", "pods/log"]
  verbs: ["get", "list"]

也可以通过 resourceNames 列表按名称引用资源。 在指定限制为资源的单个实例。 下面的例子中限制可以 get 和 update 一个名为 my-configmap 的 ConfigMap:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: configmap-updater
rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 ConfigMap 资源的名称为 "configmaps"
  resources: ["configmaps"]
  resourceNames: ["my-configmap"]
  verbs: ["update", "get"]

使用通配符 * 批量引用所有的 resources、apiGroups 和 verbs 对象,无需逐一引用。

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: example.com-superuser # 此角色仅作示范,请勿使用
rules:
- apiGroups: ["example.com"]
  resources: ["*"]
  verbs: ["*"]

Role 示例

允许读取在核心 API 组下的 “pods”:

rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 Pod 资源的名称为 "pods"
  resources: ["pods"]
  verbs: ["get", "list", "watch"]

允许读取核心 API 组中的 Pod 和读/写 “batch” API 组中的 Job 资源:

rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 Pod 资源的名称为 "pods"
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
- apiGroups: ["batch"]
  # 在 HTTP 层面,用来访问 Job 资源的名称为 "jobs"
  resources: ["jobs"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

允许读取名称为 “my-config” 的 ConfigMap(需要通过 RoleBinding 绑定以限制为某名字空间中特定的 ConfigMap):

rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 ConfigMap 资源的名称为 "configmaps"
  resources: ["configmaps"]
  resourceNames: ["my-config"]
  verbs: ["get"]

ClusterRole 示例

Role 和 ClusterRole 的区别就是 Role 有命名空间的概念,ClusterRole 没有,剩下的参数都和 Role 是一样的。

下面是一个 ClusterRole 的示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: secret-reader
rules:
- apiGroups: [""]
  # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

Role 或 ClusterRole 对象的名称必须是合法的路径分段名称。

RoleBinding 和 ClusterRoleBinding

角色绑定(Role Binding)是将角色中定义的权限赋予一个或者一组用户。 它包含若干主体(Subject)(用户、组或服务账户)的列表和对这些主体所获得的角色的引用。 RoleBinding 在指定的名字空间中执行授权,而 ClusterRoleBinding 在集群范围执行授权。

一个 RoleBinding 可以引用同一的名字空间中的任何 Role。 或者,一个 RoleBinding 可以引用某 ClusterRole 并将该 ClusterRole 绑定到 RoleBinding 所在的名字空间。 如果将某 ClusterRole 绑定到集群中所有名字空间,需要使用 ClusterRoleBinding。

RoleBinding 示例

下面的例子中的 RoleBinding 将 “pod-reader” Role 授予在 “default” 名字空间中的用户 “jane”。 这样,用户 “jane” 就具有了读取 “default” 名字空间中所有 Pod 的权限。

apiVersion: rbac.authorization.k8s.io/v1
# 此角色绑定允许 "jane" 读取 "default" 名字空间中的 Pod
# 你需要在该名字空间中有一个名为 “pod-reader” 的 Role
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
# 你可以指定不止一个“subject(主体)”
- kind: User # 常用 ServiceAccount
  name: jane # "name" 是区分大小写的
  apiGroup: rbac.authorization.k8s.io
roleRef:
  # "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系
  kind: Role        # 此字段必须是 Role 或 ClusterRole
  name: pod-reader  # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配
  apiGroup: rbac.authorization.k8s.io

解释 kind: User 可选的参数

  • User: 表示一个具体的用户。
  • ServiceAccount: 表示一个服务账户。
  • Group: 表示一个用户组。

在 Kubernetes 中,使用 ServiceAccount 更为常见,因为它们是与命名空间相关的,并且通常用于为 Pod 提供身份验证和授权。而 User 对象则更适用于基于用户名和密码的身份认证。

RoleBinding 示例

下面示例是 RoleBinding 中的片段,仅展示其 subjects 的部分。

对于名称为 alice@example.com 的用户:

subjects:
- kind: User
  name: "alice@example.com"
  apiGroup: rbac.authorization.k8s.io

对于名称为 frontend-admins 的用户组:

subjects:
- kind: Group
  name: "frontend-admins"
  apiGroup: rbac.authorization.k8s.io

对于 kube-system 名字空间中的默认服务账户:

subjects:
- kind: ServiceAccount
  name: default
  namespace: kube-system

对于 “qa” 名称空间中的所有服务账户:

subjects:
- kind: Group
  name: system:serviceaccounts:qa
  apiGroup: rbac.authorization.k8s.io

对于在任何名字空间中的服务账户:

subjects:
- kind: Group
  name: system:serviceaccounts
  apiGroup: rbac.authorization.k8s.io

serviceaccount 创建方法

kubectl create serviceaccount jane -n default

ClusterRoleBinding 示例

要跨整个集群完成访问权限的授予,你可以使用一个 ClusterRoleBinding。 下面的 ClusterRoleBinding 允许 “manager” 组内的所有用户访问任何名字空间中的 Secret。

apiVersion: rbac.authorization.k8s.io/v1
# 此集群角色绑定允许 “manager” 组中的任何人访问任何名字空间中的 Secret 资源
kind: ClusterRoleBinding
metadata:
  name: read-secrets-global
subjects:
- kind: Group
  name: manager      # 'name' 是区分大小写的
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

创建了绑定之后,你不能再修改绑定对象所引用的 Role 或 ClusterRole。 试图改变绑定对象的 roleRef 将导致合法性检查错误。 如果你想要改变现有绑定对象中 roleRef 字段的内容,必须删除重新创建绑定对象。

这种限制有两个主要原因:

  • 将 roleRef 设置为不可以改变,这使得可以为用户授予对现有绑定对象的 update 权限, 这样可以让他们管理主体列表,同时不能更改被授予这些主体的角色。
  • 针对不同角色的绑定是完全不一样的绑定。要求通过删除/重建绑定来更改 roleRef, 这样可以确保要赋予绑定的所有主体会被授予新的角色(而不是在允许或者不小心修改了 roleRef 的情况下导致所有现有主体未经验证即被授予新角色对应的权限)。

命令 kubectl auth reconcile 可以创建或者更新包含 RBAC 对象的清单文件, 并且在必要的情况下删除和重新创建绑定对象,以改变所引用的角色。

kubectl auth reconcile 用法

尚不存在的对象会被创建,如果对应的名字空间也不存在,必要的话也会被创建。 已经存在的角色会被更新,使之包含输入对象中所给的权限。如果指定了 --remove-extra-permissions,可以删除额外的权限。

举例:
添加 “–dry-run=client” 输出需要修改的部分,不会真正的执行。

kubectl auth reconcile -f my-rbac-rules.yaml --dry-run=client

保留角色(roles)中的额外权限和绑定(bindings)中的其他主体:

kubectl auth reconcile -f my-rbac-rules.yaml

删除角色(roles)中的额外权限和绑定中的其他主体:

kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-subjects --remove-extra-permissions

聚合 ClusterRole

配置默认 ClusterRole 规则

举例:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: aggregate-cron-tabs-edit
  labels:
    # 添加以下权限到默认角色 "admin" 和 "edit" 中
    rbac.authorization.k8s.io/aggregate-to-admin: "true"
    rbac.authorization.k8s.io/aggregate-to-edit: "true"
rules:
- apiGroups: ["stable.example.com"]
  resources: ["crontabs"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: aggregate-cron-tabs-view
  labels:
    # 添加以下权限到 "view" 默认角色中
    rbac.authorization.k8s.io/aggregate-to-view: "true"
rules:
- apiGroups: ["stable.example.com"]
  resources: ["crontabs"]
  verbs: ["get", "list", "watch"]

下面是一个聚合 ClusterRole 的示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: monitoring
aggregationRule:
  clusterRoleSelectors:
  - matchLabels: # 需要添加的标签
      rbac.authorization.k8s.io/aggregate-to-view: "true"  # 可以添加多组标签,添加那个 ClusterRole 的标签就会拥有谁的权限。
rules: [] # 控制面自动填充这里的规则

注意:
控制平面会覆盖你在聚合 ClusterRole 的 rules 字段中手动指定的所有值。 如果你想更改或添加规则,请在被 aggregationRule 所选中的 ClusterRole 对象上执行变更。

命令行工具创建 RBAC 权限

点击跳转

RBAC 常用权限列表

查看权限

  • get:获取指定资源的信息
  • list:获取资源列表的信息
  • watch:监视资源的变化

创建权限:

  • create:创建新资源
  • apply:应用资源配置
  • patch:部分更新资源
  • replace:替换资源

更新权限:

  • update:更新现有资源
  • edit:编辑资源配置

删除权限:

  • delete:删除资源
  • evict:驱逐 Pod

执行权限:

  • exec:在容器内执行命令
  • portforward:端口转发
  • attach:附加到容器上
  • connect:与容器建立连接

权限操作:

  • bind:绑定资源
  • use:使用资源
  • proxy:代理请求

其他操作:

  • watch:监视资源变化
  • finalize:完成资源的操作
  • approve:批准资源的操作
  • suspend:暂停资源的操作
文静小土豆
关注
  • 30
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s——鉴权(Authorization)
benziwu的博客
12-27 607
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组权限列表(subjects),权限列表中包含有不同形式的待授予权限资源类型(users, groups, or service accounts);在 RBAC API 中,Role 表示一组规则权限,权限只会增加(累加权限),不存在一个资源一开始就有很多权限而通过RBAC 对其进行减少的操作;如果要在 RBAC 授权模型中控制这些子资源的访问权限,可以通过 / 分隔符来实现,以下是一个定义 pods 资资源
Kubernetes K8S鉴权RBAC详解
weixin_45032957的博客
12-16 746
RBAC API类型 RBAC API 所声明的四种顶级类型【Role、ClusterRole、RoleBinding 和 ClusterRoleBinding】。用户可以像与其他 API 资源交互一样,(通过 kubectl API 调用等方式)与这些资源交互。 Role 和 ClusterRoleRBAC API 中,一个角色包含一组相关权限的规则。权限是纯粹累加的(不存在拒绝某操作的规则),即只能给权限累加,不存在给了XX权限,然后去掉XX01权限的情况。角色可以用 Role 来定义到某个命名空
k8s: RBAC鉴权
weixin_50606361的博客
09-07 198
一个k8s集群中可以有不同部门的容器,为了确保数据的安全,各部门的访问权限应该受到限制。现在将linux用户与useraccount绑定实现该功能。
云原生 | Kubernetes 系列】RBAC 鉴权
Q先生
08-20 684
基于角色(Role)的访问控制(RBAC)是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。RBAC 鉴权机制使用来驱动鉴权决定, 允许你通过 Kubernetes API 动态配置策略。要启用 RBAC,在启动时将参数设置为一个逗号分隔的列表并确保其中包含RBAC
k8s rbac
SHELLCODE_8BIT的博客
03-10 1260
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
k8s中的RBAC鉴权将用户固定在某个namespace下
半生痴狂半生颠的博客
08-22 160
PS:若不了解各自resoureces对应的apiGroup可用kubectl api-resources -o wide 查询对应关系。PS:此处在固定的ns下绑定权限,未涉及到整个集群全局权限,所以用Rolebinding即可。允许用户zhangsan只访问b2b-pro-uat的ns下的pod,以及deploy。登录dashboard验证,因为没有赋予namespace相关权限,所以此处需要。此处未涉及到命令行,仅用k8s原生dashboard进行测试。将role和sa绑定。三、创建对应的Role
kubernetes-RBAC 鉴权
investor_的博客
03-21 958
鉴权:鉴别权限 --》识别出某个主体(用户、组、服务账户)具有什么权限 ---》鉴定
k8s之认证鉴权准入控制
fourierr的博客
04-29 808
k8s认证,Authentication,检查用户是否为合法用户。认证方式有很多,常用的是 X509 Client Certs(用于外部用户如kubectl)和Service Accout Tokens(用于pod中进程),kubeconfig使用X509 Client Certs方式。 同时ServiceAccount Resource中主要包含了三个内容:namespace、token和ca.crt,其中namespace表示当前管理的命名空间;ca.crt用于校验服务端的的证书信息,即apiserve
k8s-utils
02-13
5. **安全与权限**:在安全方面,k8s-utils可能会包含工具来检查和审计集群的安全配置,确保遵循最佳实践,如RBAC(Role-Based Access Control)策略的验证。 6. **版本控制与部署**:k8s-utils可能还提供与Git集成...
k8s-1.14.1源码
11-22
Kubernetes,简称K8s,是Google开源的容器集群管理系统,旨在自动化容器的部署、扩展以及管理。源码分析对于理解其工作原理和技术架构至关重要。在Kubernetes 1.14.1版本中,我们能够深入探究这个强大的系统是如何...
k8s中部署prometheus的镜像
03-23
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus rules: - apiGroups: [""] resources: ["services", "pods", "endpoints", "nodes"] verbs: ["get", "list", "watch"]...
calico flannel k8s 安装yaml文件
03-05
Kubernetesk8s集群中,网络插件起着至关重要的作用,它们负责为Pod之间提供网络通信。在本话题中,我们将探讨两个流行的网络插件:Calico和Flannel,以及如何通过YAML文件来安装它们。YAML是Kubernetes的主要...
个人学习k8s相关资料
06-01
Kubernetes(简称K8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。这个“个人学习k8s相关资料”压缩包很可能是包含了一系列的学习资源,帮助你深入理解和掌握Kubernetes的核心...
K8S 集群节点缩容
weixin_67050107的博客
06-30 877
k8s 节点缩容
K8S集群应用国产信创适配实战经验总结
最新发布
yztezhl的专栏
07-06 570
sealos安装k8s是当下最火热稳定的首选之一
k8s-第十一节-Job和CronJob
lendq的Blog
07-05 553
Kubernetes jobs主要是针对短时和批量的工作负载。它是为了结束而运行的,而不是像deployment、replicasets、replication controllers和DaemonSets等其他对象那样持续运行。Kubernetes Jobs会一直运行到Job中指定的任务完成。也就是说,如果pods给出退出代码0,那么Job就会退出。而在正常的Kubernetes中,无论退出代码是什么,deployment对象在终止或出现错误时都会创建新的pod,以保持deployment的理想状态。
fastapi怎么生成rbac鉴权系统
05-24
FastAPI本身不提供RBAC鉴权系统,但是可以通过第三方库来实现。这里介绍一种使用FastAPI和Pydantic实现RBAC鉴权系统的方法。 首先,需要定义用户模型和角色模型: ```python from typing import List from pydantic import BaseModel class User(BaseModel): id: int username: str password: str role_ids: List[int] = [] class Role(BaseModel): id: int name: str permissions: List[str] = [] ``` 然后,需要定义一个获取当前用户的函数,可以使用FastAPI的依赖注入功能实现: ```python from fastapi import Depends, HTTPException, status from fastapi.security import HTTPBearer, HTTPAuthorizationCredentials from jwt import decode, exceptions from datetime import datetime, timedelta security = HTTPBearer() def get_current_user(credentials: HTTPAuthorizationCredentials = Depends(security)) -> User: token = credentials.credentials try: payload = decode(token, "SECRET_KEY", algorithms=["HS256"]) username = payload.get("sub") if username is None: raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="Invalid authentication credentials") user = get_user_by_username(username) if user is None: raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="Invalid username") return user except exceptions.DecodeError as e: raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="Invalid authentication credentials") except exceptions.ExpiredSignatureError as e: raise HTTPException(status_code=status.HTTP_401_UNAUTHORIZED, detail="Token has expired") ``` 这个函数会从HTTP请求头中获取JWT令牌,并验证令牌的有效性和过期时间。如果验证通过,则返回当前用户对象。需要注意的是,这里的"SECRET_KEY"应该替换成真正的密钥。 接下来,需要定义一个检查权限的函数: ```python def check_permission(user: User, permission: str) -> bool: roles = get_roles_by_ids(user.role_ids) for role in roles: if permission in role.permissions: return True return False ``` 这个函数会检查当前用户是否拥有某个权限。需要根据用户的角色列表获取角色对象,然后检查角色是否拥有该权限。 最后,需要在路由定义中使用这些函数来进行鉴权: ```python from fastapi import FastAPI, Depends, HTTPException, status app = FastAPI() @app.get("/protected") def protected(user: User = Depends(get_current_user)): if not check_permission(user, "read_protected_data"): raise HTTPException(status_code=status.HTTP_403_FORBIDDEN, detail="You don't have permission to access this resource") return {"data": "This is protected data."} ``` 这个路由定义会使用get_current_user函数获取当前用户对象,然后使用check_permission函数检查是否拥有"read_protected_data"权限。如果没有权限,则返回HTTP 403 Forbidden错误。 需要注意的是,这里只是一个简单的示例,实际的RBAC鉴权系统可能会更加复杂。还需要考虑如何管理用户、角色和权限的数据,以及如何将鉴权逻辑集成到具体的业务逻辑中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值