认证、授权、服务账户自动化
一、简介
1.Authentication
Authentication(认证)
• 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再
进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证
方式。
• Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和
(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存
在,它只是形式上存在。
• Authorization(授权)
• 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒
绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、
Webhook、Node。默认集群强制开启RBAC。
• Admission Control(准入控制)
• 用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求
API资源对象进行修改和校验。
2.访问k8s的API Server的客户端主要分为两类:
访问k8s的API Server的客户端主要分为两类:
• kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关
信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认
证,然后完成操作请求。
• pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访
问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:
ServiceAccount,生产中后者使用居多。
• kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作。
• $ kubectl proxy --port=8888 &
• $ curl http://localhost:8888/api/v1/namespaces/default
• $ curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments
• 以上两种api的区别是:
• api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
• apis 它是一般API访问的入口固定格式名。
二、UserAccount与serviceaccount:
UserAccount与serviceaccount:
• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源
不会做 namespace 隔离, 服务账户是 namespace 隔离的。
• 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉
及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务
创建服务账户 ( 即权限最小化原则 )。
[root@server4 ~]# kubectl get sa
[root@server4 ~]# kubectl create serviceaccount admin
[root@server4 ~]# kubectl describe sa admin #此时k8s为用户自动生成认证信息,但没有授权
[root@server4 ~]# kubectl describe sa default
[root@server4 ~]# kubectl get secrets
[root@server4 ~]# kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}' #将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多。
serviceaccount/admin patched
[root@server4 ~]# kubectl describe sa admin
[root@server4 configmap]# ls
cm1.yaml nginx.conf pod2.yaml secret1.yaml secret4.yaml
mypod.yaml nginx.yaml pod3.yaml secret2.yaml test
mysecret.yaml password.txt pod.yaml secret3.yaml username.txt
[root@server4 configmap]# vim mypod.yaml
[root@server4 configmap]# cat mypod.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: game2048
image: reg.westos.org/westos/game2048
# imagePullSecrets:
# - name: myregistrykey #提前写好访问密码
serviceAccountName: admin #指定sa,没有指定会拉取不到
[root@server4 configmap]# kubectl apply -f mypod.yaml
pod/mypod created
[root@server4 configmap]# kubectl get pod
[root@server4 configmap]# kubectl describe pod mypod
三、创建UserAccount
[root@server4 pki]# pwd ##切换到指定目录
/etc/kubernetes/pki
[root@server4 pki]# openssl genrsa -out test.key 2048 ##生成指定key
[root@server4 pki]# openssl req -new -key test.key -out test.csr -subj "/CN=test" ##生成证书请求
[root@server4 pki]# openssl x509 -req -in test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out test.crt -days 365 ##生成证书
[root@server4 pki]# openssl x509 -in test.crt -text -noout ##查看证书内容
[root@server4 pki]# kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true ## 生成用户并设置认证
User "test" set.
[root@server4 pki]# kubectl config view ##查看配置内容
[root@server4 pki]# kubectl config set-context test@kubernetes --cluster=kubernetes --user=test ##设置账户
[root@server4 pki]# kubectl config use-context test@kubernetes ##使用账户test
[root@server4 pki]# kubectl get pod ##会出错,因为此时用户通过认证,但还没有权限操作集群资源,需要继续添加授权。
Error from server (Forbidden): pods is forbidden: User "test" cannot list resource "pods" in API group "" in the namespace "default"
四、授权
RBAC(Role Based Access Control):基于角色访问控制授权。
• 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色
与权限进行关联。
• RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可。
• RBAC包括四种类型:Role、ClusterRole、RoleBinding、
ClusterRoleBinding。
RBAC的三个基本概念 :
• Subject:被作用者,它表示k8s中的三类主体, user, group, serviceAccount
• Role:角色,它其实是一组规则,定义了一组对 Kubernetes API 对象的操作权限。
• RoleBinding:定义了“被作用者”和“角色”的绑定关系。
• Role 和 ClusterRole
• Role是一系列的权限的集合,Role只能授予单个namespace 中资源的访问权限。
• ClusterRole 跟 Role 类似,但是可以在集群中全局使用。
示例
1.role示例 :vim role.yaml
[root@server4 ~]# mkdir roles
[root@server4 ~]# cd roles/
[root@server4 roles]# ls
[root@server4 roles]# vim role.yaml
[root@server4 roles]# cat role.yaml
kind: Role ##role示例
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: default
name: myrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]
[root@server4 roles]# kubectl apply -f role.yaml
[root@server4 roles]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes". #权限不够,换为管理员权限
[root@server4 roles]# kubectl apply -f role.yaml
role.rbac.authorization.k8s.io/myrole created
[root@server4 roles]# kubectl get role
NAME CREATED AT
myrole 2021-08-03T03:04:12Z
[root@server4 roles]#
2.RoleBinding: 示例 vim rolebinding.yaml
[root@server4 roles]# vim rolebinding.yaml
[root@server4 roles]# cat rolebinding.yaml
kind: RoleBinding # 创建RoleBinding并绑定role:
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: test-read-pods
namespace: default
subjects:
- kind: User
name: test
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role #绑定的类型是role
name: myrole
apiGroup: rbac.authorization.k8s.io
[root@server4 roles]# kubectl apply -f rolebinding.yaml
rolebinding.rbac.authorization.k8s.io/test-read-pods created
[root@server4 roles]# kubectl get rolebindings.rbac.authorization.k8s.io
NAME ROLE AGE
test-read-pods Role/myrole 26s #rolebinding 已经创建好
[root@server4 roles]# kubectl config use-context test@kubernetes
Switched to context "test@kubernetes".
[root@server4 roles]# kubectl get pod # 因为已经绑定角色,此时test用户已经有操作集群资源的权限
NAME READY STATUS RESTARTS AGE
mypod 1/1 Running 0 21m
[root@server4 roles]# kubectl get pod -n kube-system #禁止是因为只在指定namespace内生效
Error from server (Forbidden): pods is forbidden: User "test" cannot list resource "pods" in API group "" in the namespace "kube-system"
[root@server4 roles]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".
[root@server4 roles]#
3.ClusterRole示例: vim cluserrole.yaml
[root@server4 roles]# ls
cluserrole.yaml rolebinding.yaml role.yaml
[root@server4 roles]# vim cluserrole.yaml
[root@server4 roles]# cat cluserrole.yaml
kind: ClusterRole #RoleBinding绑定ClusterRole:
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: myclusterrole
rules: ##通过规则可以设置控制的内容
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
resources: ["deployments"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
[root@server4 roles]# kubectl apply -f cluserrole.yaml
clusterrole.rbac.authorization.k8s.io/myclusterrole created
[root@server4 roles]# kubectl get clusterrole | grep mycluster
myclusterrole 2021-08-03T03:16:35Z
4.使用rolebinding绑定clusterRole:
[root@server4 roles]# ls
cluserrole.yaml rolebinding.yaml role.yaml
[root@server4 roles]# vim rolebinding.yaml
[root@server4 roles]# vim rolebinding.yaml
[root@server4 roles]# cat rolebinding.yaml
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: test-read-pods
namespace: default
subjects:
- kind: User
name: test
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: myrole
apiGroup: rbac.authorization.k8s.io
---
apiVersion: rbac.authorization.k8s.io/v1 #使用rolebinding绑定clusterRole
kind: RoleBinding
metadata:
name: rolebind-myclusterrole
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test
[root@server4 roles]# kubectl apply -f rolebinding.yaml
rolebinding.rbac.authorization.k8s.io/test-read-pods unchanged
rolebinding.rbac.authorization.k8s.io/rolebind-myclusterrole created
[root@server4 roles]# cd ../ingress/
[root@server4 ingress]# ls
auth deploy.yaml ingress.yaml tls.crt tls.key
[root@server4 ingress]# vim deployment-nginx.yaml
[root@server4 ingress]# cat deployment-nginx.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: nginx-deployment
labels:
app: nginx
spec:
replicas: 3
selector:
matchLabels:
app: nginx
template:
metadata:
labels:
app: nginx
spec:
containers:
- name: nginx
image: myapp:v1
[root@server4 ingress]# kubectl apply -f deployment-nginx.yaml
deployment.apps/nginx-deployment created
[root@server4 ingress]# kubectl get deployments.apps
NAME READY UP-TO-DATE AVAILABLE AGE
nginx-deployment 3/3 3 3 24s
[root@server4 ingress]# kubectl config use-context test@kubernetes
Switched to context "test@kubernetes".
[root@server4 ingress]# kubectl get deployments.apps
NAME READY UP-TO-DATE AVAILABLE AGE
nginx-deployment 3/3 3 3 50s
[root@server4 ingress]# kubectl get pod -n kube-system #在其他namespace中仍然没有操作权限
Error from server (Forbidden): pods is forbidden: User "test" cannot list resource "pods" in API group "" in the namespace "kube-system"
[root@server4 ingress]#
[root@server2 ~]# kubectl get pod -o wide ## 绑定之后test用户有了对deployments控制器的操作权限
5.创建clusterrolebinding:
[root@server4 roles]# kubectl config use-context kubernetes-admin@kubernetes
Switched to context "kubernetes-admin@kubernetes".
[root@server4 roles]# ls
cluserrolebinding.yaml cluserrole.yaml rolebinding.yaml role.yaml
[root@server4 roles]# vim cluserrolebinding.yaml
[root@server4 roles]# cat cluserrolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding ##ClusterRoleBinding
metadata:
name: clusterrolebinding-myclusterrole
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole ##绑定的是集群,但是不需要指定namespace
name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test
[root@server4 roles]# kubectl apply -f cluserrolebinding.yaml
clusterrolebinding.rbac.authorization.k8s.io/clusterrolebinding-myclusterrole created
[root@server4 roles]# kubectl config use-context test@kubernetes
Switched to context "test@kubernetes".
[root@server4 roles]# kubectl get pod -n kube-system
五、服务账户的自动化
• 服务账户准入控制器(Service account admission controller)
• 如果该 pod 没有 ServiceAccount 设置,将其 ServiceAccount 设为 default。
• 保证 pod 所关联的 ServiceAccount 存在,否则拒绝该 pod。
• 如果 pod 不包含 ImagePullSecrets 设置,那么 将 ServiceAccount 中的
ImagePullSecrets 信息添加到 pod 中。
• 将一个包含用于 API 访问的 token 的 volume 添加到 pod 中。
• 将挂载于 /var/run/secrets/kubernetes.io/serviceaccount 的 volumeSource
添加到 pod 下的每个容器中。
• Token 控制器(Token controller)
• 检测服务账户的创建,并且创建相应的 Secret 以支持 API 访问。
• 检测服务账户的删除,并且删除所有相应的服务账户 Token Secret。
• 检测 Secret 的增加,保证相应的服务账户存在,如有需要,为 Secret 增加 token。
• 检测 Secret 的删除,如有需要,从相应的服务账户中移除引用。
• 服务账户控制器(Service account controller)
• 服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在
一个名为 “default” 的服务账户
Kubernetes 还拥有“用户组”(Group)的概念:
• ServiceAccount对应内置“用户”的名字是:
• system:serviceaccount:<ServiceAccount名字 >
• 而用户组所对应的内置名字是:
• system:serviceaccounts:<Namespace名字 >
- Kubernetes 还提供了四个预先定义好的 ClusterRole 来供用户直接使用:
cluster-amdin %权限高于admin,能够管理整个集群
admin %相当于管理员权限
edit %编辑资源
view %查看资源
定义了一个RoleBinding绑定ClusterRole中的view角色,可用于查看集群中的所有资源,当需要查看集群资源的时候用这种方式比较好,可以省去多个角色定义的麻烦。
- 示例:(最佳实践)
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: readonly-default
subjects:
- kind: ServiceAccount
name: default
namespace: default
roleRef:
kind: ClusterRole
name: view
apiGroup: rbac.authorization.k8s.io