K8s之RBAC模型

最新推荐文章于 2023-09-05 20:30:00 发布
最新推荐文章于 2023-09-05 20:30:00 发布
阅读量197 收藏
点赞数
文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s1056481432/article/details/129602893
版权

RBAC

RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群中的身份有两种:用户(User)和服务账号(Service Account),其中service account是k8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa中的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。

img

用户user

对于User账户,主要分为系统管理员账户和普通账户,系统管理员账户为创造集群时自带,权限很高,普通账户也是由系统管理员账户创建并赋予期对应的访问操作权限。

创建用户

对于User账户,我们可以通过创建k8s集群时自带的证书对我们(admin)权限(几乎)手动管理master中的凭证文件,并且将每个凭证文件和一个字符串对应起来,只要用户请求中有信息(一般来自本地保存的.kube/config文件中)能够证明自己有任意一个凭证文件的授权,那么这个请求就被认为是一个合法用户发出的,同时,在证书中还可以加入用户所在的组(group)的信息,k8s可以据此认为user在一个组中或者后期通过rolebinding等赋予操作权限。

img
通过CSR创建为例,(参考官方文档https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/certificate-signing-requests)

1.生成一个 2048 位的 morece.key 文件
openssl genrsa -out morece.key 2048
2.在 morece.key 文件的基础上,生成 morece.crt 文件(用参数 -days 设置证书有效期)
这里注意两个字段Common Name输入的是用户名。
Organization Name 是用户组,如果写system:masters则归属于系统组获取系统管理权限,这块可以写一个新的,后边我们通过role或clusterrole来限制账号的权限。
openssl req -new -key morece.key -out morece.csr

img

创建 CertificateSigningRequest
  cat <<EOF | kubectl apply -f -
apiVersion: certificates.k8s.io/v1
kind: CertificateSigningRequest
metadata:
  name: morece
spec:
  request: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURSBSRVFVRVNULS0tLS0KTUlJQ2p6Q0NBWGNDQVFBd1NqRUxNQWtHQTFVRUJoTUNRMDR4RlRBVEJnTlZCQWNNREVSbFptRjFiSFFnUTJsMAplVEVUTUJFR0ExVUVDZ3dLYTNWaVpYSnVaWFJsY3pFUE1BMEdBMVVFQXd3R2JXOXlaV05sTUlJQklqQU5CZ2txCmhraUc5dzBCQVFFRkFBT0NBUThBT==..
  signerName: kubernetes.io/kube-apiserver-client
  expirationSeconds: 86400  # one day
  usages:
  - client auth
EOF

  • usage 字段必须是 ‘client auth

  • expirationSeconds 可以设置为更长(例如 864000 是十天)或者更短(例如 3600 是一个小时)

  • request 字段是 CSR 文件内容的 base64 编码值。 要得到该值,可以执行命令

    cat morece.csr | base64 | tr -d "\n"

    批准证书kubectl certificate approve morece

取得证书

从 CSR 取得证书:

kubectl get csr/morece -o yaml

证书的内容使用 base64 编码,存放在字段 status.certificate

从 CertificateSigningRequest 导出颁发的证书。

kubectl get csr morece -o jsonpath='{.status.certificate}'| base64 -d > morece.crt
添加到 kubeconfig

最后一步是将这个用户添加到 kubeconfig 文件。

首先,你需要添加新的凭据:

kubectl config set-credentials morece --client-key=morece.key --client-certificate=morece.crt --embed-certs=true

然后,你需要添加上下文:

kubectl config set-context morece --cluster=kubernetes --user=morece

img

这里也推荐个工具看用户,切换context很方便https://github.com/sunny0826/kubecm.git

img
来测试一下,把上下文切换为 morece

kubectl config use-context morece

img

这里可以看到报错了,错误原因是more测用户并没有权限去访问default空间下的pod,这时候就要引入RBAC来分配权限了

RBAC来分配权限

RBAC API 声明了四种 Kubernetes 对象:RoleClusterRoleRoleBindingClusterRoleBinding

创建角色Role和ClusterRole

Role 总是用来在某个名字空间内设置访问权限; 在你创建 Role 时,你必须指定该 Role 所属的名字空间。

与之相对,ClusterRole 则是一个集群作用域的资源

接下来创建个读取default pod的权限(注意要切换为管理员context再进行资源创建)

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: morecepod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]
  verbs: ["get", "watch", "list"]//允许的操作行为
//get和list区别在于如果是get可以查看详情kubectl describe这在secret时获取详情中的token很好用,list只能获取列表不能查看详情
RoleBindingClusterRoleBinding

简单来说RoleBindingClusterRoleBinding就是将Role和ClusterRole规则作用效果绑定到用户或serveraccount,使其拥有与Role和ClusterRole一样的权限。

一个 RoleBinding 可以引用同一的名字空间中的任何 Role。 或者,一个 RoleBinding 可以引用某 ClusterRole 并将该 ClusterRole 绑定到 RoleBinding 所在的名字空间。 如果你希望将某 ClusterRole 绑定到集群中所有名字空间,你要使用 ClusterRoleBinding。

apiVersion: rbac.authorization.k8s.io/v1
# 此角色绑定允许 "jane" 读取 "default" 名字空间中的 Pod
# 你需要在该命名空间中有一个名为 “pod-reader” 的 Role
kind: RoleBinding
metadata:
  name: moreceread-pods
  namespace: default
subjects:
# 你可以指定不止一个“subject(主体)”
- kind: User
  name: morece # "morece" 是区分大小写的
  apiGroup: rbac.authorization.k8s.io
roleRef:
  # "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系
  kind: Role        # 此字段必须是 Role 或 ClusterRole
  name: morecepod-reader  # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配
  apiGroup: rbac.authorization.k8s.io

然后再把上下文切换为 morece看下default空间下pod可以了:

img

权限划分

Role和ClusterRole的权限控制主要通过rules下字段
apiGroups:设定资源组"" 标明 core API 组,“" 标明所有组
resource内容为常见资源类(crontabs、jobs、pods、pods/log、configmaps、deployments等)
同时也支持nonResourceURLs通过api url加载
nonResourceURLs: [“/healthz”, "/healthz/”] # nonResourceURL 中的 ‘*’ 是一个全局通配符

verbs主要控制对资源的行为[“get”, “list”, “watch”, “create”, “update”, “patch”, “delete”]

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: morecepod-reader
rules:
- apiGroups: [""] # "" 标明 core API 组
  resources: ["pods"]
  verbs: ["get", "watch", "list"]//允许的操作行为
//get和list区别在于如果是get可以查看详情kubectl describe这在secret时获取详情中的token很好用,list只能获取列表不能查看详情
手动创建证书方法

利用手动创建证书创建用户,前面生成密钥部分都相同,但是签名通过利用集群中CA自带的CA证书进行签名即可。详细在http://blog.itpub.net/69955379/viewspace-2778141

创建用户server account

服务账号对象主体更多为pod,比如当有pod需要运行时,必须以一个service account的身份去运行他。一个pod不需要区分是那个用户的,只需要对service account权限进行控制即可。

我们在创建 Pod 时,如果没有指定服务账号,Pod 会被指定给命名空间中的 default 服务账号。

角色role和roleBinding

下面我们在namespace为ceshi下创建一个service account,接着在pod中使用这个账户

kubectl create serviceaccount morece -n ceshi //创建sa
挂载sa起pod
apiVersion: v1
kind: Pod
metadata:
  name: morecewithsa
  namespace: ceshi
spec:
  serviceAccount: morece
  containers:
    - name: morece
      image: nginx
      imagePullPolicy: IfNotPresent 
将kubectl cp进去测试用
kubectl cp /usr/bin/kubectl ceshi/morecewithsa:/
find / -name "*token"找一下pod里挂载的token,也可以直接用kubectl
kubectl get pod

img

可以看到我们光是创建一个service account,在pod内是没什么权限的,现在创建个role,通过rolebinding绑定在我们的sa上

 cat <<EOF | kubectl apply -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: ceshi
  name: morecepod-create
rules:
- apiGroups: ["*"]
  # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
  resources: ["secrets","pods","nodes","services"]
  verbs: ["get", "watch", "list","create"]
EOF

cat <<EOF | kubectl apply -f -
apiVersion: rbac.authorization.k8s.io/v1
# 此角色绑定允许 service account 读取 "ceshi" 名字空间中的 Pod
# 你需要在该命名空间中有一个名为 “morecepod-create” 的 Role
kind: RoleBinding
metadata:
  name: morececreate-pods
  namespace: ceshi
subjects:
# 你可以指定不止一个“subject(主体)”
- kind: ServiceAccount
  name: morece # "morece" 是区分大小写的
roleRef:
  # "roleRef" 指定与某 Role 或 ClusterRole 的绑定关系
  kind: Role        # 此字段必须是 Role 或 ClusterRole
  name: morecepod-create  # 此字段必须与你要绑定的 Role 或 ClusterRole 的名称匹配
  apiGroup: rbac.authorization.k8s.io
EOF

在里边试试创建个pod,可以了

cat <<EOF | ./kubectl apply -f -
apiVersion: v1
kind: Pod
metadata:
  name: createinmorecewithsa
  namespace: ceshi
spec:
  containers:
    - name: createinmorecewithsacon
      image: nginx
      imagePullPolicy: IfNotPresent  
EOF

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zmpCoF6c-1678978192710)(https://prefect12.oss-cn-beijing.aliyuncs.com/8.png?Expires=1676567430&OSSAccessKeyId=TMP.3Kk4pSrSmBFm96NfgY6GZKm1qhse1DffMaig8NhGPYR9RcQ4j74QAFhCvmGWDyXkr2E7wtHv71FS2rrVZhzZTQXAJUXuCo&Signature=iOG9FI4viDa8002eio23AIw0dw0%3D)]

我们再试试在别的命名空间创建pod,失败了。于是现在创建个clusterrole,通过clusterrolebinding绑定在我们的sa上

img

  cat <<EOF | kubectl apply -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" 被忽略,因为 ClusterRoles 不受名字空间限制
  name: pod-create
rules:
- apiGroups: ["*"]
  # 在 HTTP 层面,用来访问 Secret 资源的名称为 "secrets"
  resources: ["secrets","pods","nodes","services"]
  verbs: ["get", "watch", "list","create"]
EOF
  cat <<EOF | kubectl apply -f -
apiVersion: rbac.authorization.k8s.io/v1
# 此集群角色绑定允许 “manager” 组中的任何人访问任何名字空间中的 Secret 资源
kind: ClusterRoleBinding
metadata:
  name: create-pod-glob
subjects:
- kind: ServiceAccount
  namespace: ceshi
  name: morece      # 'name' 是区分大小写的
roleRef:
  kind: ClusterRole
  name: pod-create
  apiGroup: rbac.authorization.k8s.io
EOF
hatjwe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8sRBAC 详解(基于角色的访问控制)
qfyangsheng的博客
08-19 1586
一个实验搞定RBAC RBAC基于角色的访问控制--全拼Role-Based Access Control ​ Service Account为服务提供了一种方便的认证机制,但它不关心授权的问题。可以配合RBAC来为Service Account鉴权 ​ 在Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 ​ 在RABC API中,通过如下的步骤进行授权
k8s中部署prometheus的镜像
03-23
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus rules: - apiGroups: [""] resources: ["services", "pods", "endpoints", "nodes"] verbs: ["get", "list", "watch"]...
K8S认证、授权与准入控制(RBAC)详解
weixin_33915554的博客
04-17 845
相关推荐 本文的kubernetes环境:https://blog.51cto.com/billy98/2350660 RBAC官方文档:https://kubernetes.io/docs/reference/access-authn-authz/rbac/ 前言 RBAC (Role-Based Access Control,基于角色的访问控制)是一种新型、灵活且使用广泛的访问控制机制,它...
k8s rbac
SHELLCODE_8BIT的博客
03-10 1315
简单就如下所示,给谁分配什么权限,这是大家经常在后台管理系统遇到的。
k8s-RBAC
kxq的博客
12-22 570
一、认证 1.进入到证书目录 cd /etc/kubernetes/pki/ 2.创建kxq用户的私钥 (umask 077; openssl genrsa -out kxq.key 2048 ) 3.创建kxq用户的证书 openssl req -new -key kxq.key -out kxq.csr -subj "/CN=kxq" 4.利用ca.crt,ca.key进行签证 [root@master pki]# openssl x509 -req -in kxq.csr -CA ./ca.cr
K8s中的RBAC(Role-Based Access Control)
多头注意力探索Now
09-05 1028
K8s上的RBAC设计和实现方式说明
k8s集群环境搭建资源
10-27
8. **安全性**:k8s提供了RBAC(Role-Based Access Control)进行权限管理,通过Role和RoleBinding来定义用户或用户组的权限。此外,还有NetworkPolicy来控制Pod间的网络通信。 9. **日志、监控和调试**:k8s集群...
个人学习k8s相关资料
最新发布
06-01
Kubernetes(简称K8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。这个“个人学习k8s相关资料”压缩包很可能是包含了一系列的学习资源,帮助你深入理解和掌握Kubernetes的核心...
k8s-1.14.1源码
11-22
K8s的网络模型允许Pods间直接通信,无论它们位于哪个节点上,都有一个唯一的IP地址。此外,通过服务(Service)抽象,K8s提供了负载均衡和对外暴露应用的方法。 4. **存储** Kubernetes支持多种存储类型,包括...
k8s容器集群讲义.zip
11-29
5. **网络模型**:K8s的CNI(Container Network Interface)允许插件自定义网络,例如Flannel、Calico等,确保每个Pod都有一个唯一的IP地址,并能够跨节点通信。 6. **存储管理**:K8s支持多种存储类型,包括本地...
k8s:RBAC
m0_50434960的博客
03-12 445
RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在apiserver 中添加参数–authorization-mode=RBAC ,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC,可以通过查看 Master节点上 apiserver 的静态Pod 定义文件: cat /etc/kubernetes/man
K8S RBAC介绍
小单的博客专栏
03-19 5355
Kubernetes中,授权有ABAC(基于属性的访问控制)、RBAC(基于角色的访问控制)、Webhook、Node、AlwaysDeny(一直拒绝)和AlwaysAllow(一直允许)这6种模式。 从1.6版本起,Kubernetes 默认启用RBAC访问控制策略。从1.8开始,RBAC已作为稳定的功能。通过设置–authorization-mode=RBAC,启用RABC。所以RBAC也就...
k8s || RBAC
qq_60271706的博客
04-09 205
APIServer需要对客户端做认证,使用kubeadm安装的K8s,会在用户家目录下创建一个认证配置文件 .kube/config 这里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。人--》k8s客户端(一般用:kubectl) ------>API Server。目的:防止k8s里的pod(会运行程序)能随意获取整个集群里的信息和访问集群里的资源。
Kubernetesk8s)权限管理RBAC
驰兔的博客
03-13 944
前面文章中知道了KubernetesConfigMap和Secret,其实到这里我们基本上已经覆盖到Kubernetes中一些重要的资源对象了,来部署一个应用程序是完全没有问题的了。RBAC- 基于角色的访问控制。RBAC使用API Group 来实现授权决策,允许管理员通过 Kubernetes API 动态配置策略,要启用RBAC,需要在 apiserver 中添加参数,如果使用的kubeadm安装的集群,1.6 版本以上的都默认开启了RBAC
k8s - 安全认证(RBAC
栋院
03-18 2967
api server 是集群访问控制的统一入口 k8s认证过程: 认证 -> 授权 - > 准入控制 (adminationcontroller) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器拦截对api server 的请求,一般用来做认证和授权。其中包括连个控制器: MutatingAdmissionWebhook 和 Validating
K8S安全-RBAC
运维@小兵的博客
11-22 1392
文章目录一、Kubernetes 安全框架`1.1.鉴权(Authentication)``1.2.授权(Authorization)``1.3.准入控制(Admission Control)`二、基于角色的权限访问控制:RBAC`2.1.角色``2.2.角色绑定``2.3.主体(subject)`三、为devops用户授权访问default命名空间权限`3.1.用K8S CA签发客户端证书`3.1.1.[Shell脚本安装cfssl](https://blog.csdn.net/anqixiang/art
[k8s]k8s rbac语法
毛台
05-19 868
https://kubernetes.io/docs/admin/authorization/rbac/#role-and-clusterrole
k8sRBAC实战
u011356878的博客
11-20 982
最近想复习一下k8s的知识,并将之前没做的授权给弄一下。。一切问题就要从这里开始了。 另外本文没不怎么涉及RBAC的理论知识,需要自行学习。 ###一、开启RBAC k8s的组件kube-apiserver是k8s的网关,一切请求都从这里进去。所以我们开启RBAC只需要在该组件配置启动参数。 在/etc/systemd/system/kube-apiserver.service文件新增参数。 ...
详解 k8s 中的 RBAC
wolaisongfendi的博客
02-01 544
Kubernetes 主要通过 API Server 对外提供服务,对于这样的系统来说,如果不加以安全限制,那么可能导致请求被滥用,甚至导致整个集群崩塌。 Kubernetes 中提供了良好的多租户认证管理机制,RBAC正式其中重要的一个,今天我们来详细聊聊 K8s 中的 RBAC
青云K8s集群运维实战与故障处理
青云高效运维K8S集群.pdf是一份于2019年10月发布的文档,专注于介绍最新的容器技术和青云在KubernetesK8S)集群运维方面的高效实践。Kubernetes容器编排平台,其设计和架构至关重要,本文档详细阐述了K8S的核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值