在 Kubernetes 中, 使用 RBAC 授权

最新推荐文章于 2023-06-02 11:34:14 发布
最新推荐文章于 2023-06-02 11:34:14 发布
阅读量370 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013670453/article/details/115980920
版权

永久地址:在 Kubernetes 中, 使用 RBAC 授权(保存网址不迷路 🙃)

 

问题描述

该笔记将记录:在 Kubernetes Cluster 中,如何使用 RBAC 及 ServiceAccount 进行权限管理,以及常见问题处理。

解决方案

场景一、限制 kubectl 命令

当集群部署完成之后,使用 kubectl 命令能够控制整个集群,这是因为 ~/.kube/config 的凭证权限足够高。我们不能直接分发该凭证,应该创建新的碰正限制访问权限。

第一步、检查 RBAC 是否启用

# kubectl api-versions | grep -E '^rbac\.'
rbac.authorization.k8s.io/v1
rbac.authorization.k8s.io/v1beta1

启用 RBAC 授权:在启动 kube-apiserver 服务时,指定 --authorization-mode=Example,RBAC 选项

第二步、创建 ServiceAccount 对象

cat > udef-ServiceAccount-PodReader.yaml <<EOF
apiVersion: v1
kind: ServiceAccount
metadata:
  name: pod-reader
EOF

kubectl apply -f udef-ServiceAccount-PodReader.yaml

ServiceAccount 相当于传统授权体系的账户。

第三步、创建 Role 对象

该 Role 仅具有读取 Pod 的权限:

cat > udef-Role-PodReader.yaml <<EOF
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: pod-reader
rules:
  - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "list", "watch"]
EOF

kubectl apply -f udef-Role-PodReader.yaml

Role 相当于传统授权体系中的角色

第四步、创建 RoleBinding 对象

cat > udef-RoleBinding-PodReader.yaml <<EOF
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
   name: pod-reader
subjects:
 - kind: ServiceAccount
   name: pod-reader
roleRef:
   kind: Role
   name: pod-reader
   apiGroup: rbac.authorization.k8s.io
EOF

kubectl apply -f udef-RoleBinding-PodReader.yaml

RoleBinding 相当于传统授权体系中的授权动作,将用户与角色绑定。

第五步、访问集群

SECRET_NAME=$(kubectl get -n default serviceaccount pod-reader -o jsonpath="{.secrets[0].name}")
TOKEN=$(kubectl get secrets $SECRET_NAME -o jsonpath="{.data.token}" | base64 -d)

# 创建 pod-reader 用户
kubectl config set-credentials "pod-reader" --token=$TOKEN 

# 创建 Context 来绑定“用户”与“集群”
# 用户:我们刚才创建的
# 集群:需要查看 ~/.kube/config 文件的 clusters 属性中的 name 字段
kubectl config set-context "pod-reader" --cluster="kubernetes" --user="pod-reader"

# 切换到 Context 
kubectl config use-context "pod-reader"

查看命令空间 Pod 信息:

# kubectl get pods -n default
No resources found in default namespace.

如果查看其他命令空间的 Pod 将返回错误信息:

# kubectl get pods -n kube-system
Error from server (Forbidden): pods is forbidden: User "system:serviceaccount:default:pod-reader" cannot list resource "pods" in API group "" in the namespace "kube-system"

补充说明

1)其实,这里 TOKEN 也是访问 Kubernetes Dashboard 要输入的 TOKEN 参数

2)kubectl get 与 kubectl describe 输出的 token 并不相同,前者需要 base64 解码,否则提示:error: You must be logged in to the server (Unauthorized)

3)我们这里紧演示如何通过 RBAC 限制 kubectl 对集群的操作。实际上,Pod 启动时,会将 namespace 的 default ServiceAccount 挂载到 Pod 中,能够用来访问集群,参考 Use the Default Service Account to access the API server.Accessing the API from a Pod 文档。

4)限制仅能访问特定 Namespace 资源:我们的示例便是如此,只是赋予的 apiGroups 及 resources 是有限的。如果希望访问 Namesapce 的所有资源,使用:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: mynamespace-user-full-access
  namespace: mynamespace
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]
- apiGroups: ["batch"]
  resources:
  - jobs
  - cronjobs
  verbs: ["*"]

Role and ClusterRole

Role - namespaced resource

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

官方文档给出一些 Role 示例:https://kubernetes.io/docs/reference/access-authn-authz/rbac/#role-examples

ClusterRole - non-namespaced resource

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  # "namespace" omitted since ClusterRoles are not namespaced
  name: secret-reader
rules:
- apiGroups: [""]
  #
  # at the HTTP level, the name of the resource for accessing Secret
  # objects is "secrets"
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

Aggregated ClusterRoles

将多个 ClusterRole 聚合到同个中,通过 selector 与 label 进行匹配。

带有 aggregationRule 的资源:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: monitoring
aggregationRule:
  clusterRoleSelectors:
  - matchLabels:
      rbac.example.com/aggregate-to-monitoring: "true"
rules: [] # The control plane automatically fills in the rules

当定义如下 ClusterRole 资源时,由于设置“对应的标签”,该 ClusterRole 会被自动合并到上面的 ClusterRole 资源中:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: monitoring-endpoints
  labels:
    rbac.example.com/aggregate-to-monitoring: "true"
# When you create the "monitoring-endpoints" ClusterRole,
# the rules below will be added to the "monitoring" ClusterRole.
rules:
- apiGroups: [""]
  resources: ["services", "endpoints", "pods"]
  verbs: ["get", "list", "watch"]

官方文档还给了另外两个示例,将 CRD 资源的权限赋予 default user-facing roles,这也是通过 Aggregated ClusterRoles 实现的:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: aggregate-cron-tabs-edit
  labels:
    # Add these permissions to the "admin" and "edit" default roles.
    rbac.authorization.k8s.io/aggregate-to-admin: "true"
    rbac.authorization.k8s.io/aggregate-to-edit: "true"
rules:
- apiGroups: ["stable.example.com"]
  resources: ["crontabs"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: aggregate-cron-tabs-view
  labels:
    # Add these permissions to the "view" default role.
    rbac.authorization.k8s.io/aggregate-to-view: "true"
rules:
- apiGroups: ["stable.example.com"]
  resources: ["crontabs"]
  verbs: ["get", "list", "watch"]

附加说明

限制访问子资源:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-and-pod-logs-reader
rules:
- apiGroups: [""]
  resources: ["pods", "pods/log"]
  verbs: ["get", "list"]

通过资源名进行限制:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: configmap-updater
rules:
- apiGroups: [""]
  #
  # at the HTTP level, the name of the resource for accessing ConfigMap
  # objects is "configmaps"
  resources: ["configmaps"]
  resourceNames: ["my-configmap"]
  verbs: ["update", "get"]

RoleBinding and ClusterRoleBinding

RoleBinding

= a Role + Subjects (Users, Groups, Service Accounts)

apiVersion: rbac.authorization.k8s.io/v1
# This role binding allows "jane" to read pods in the "default" namespace.
# You need to already have a Role named "pod-reader" in that namespace.
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default

subjects:
# You can specify more than one "subject"
- kind: User
  name: jane # "name" is case sensitive
  apiGroup: rbac.authorization.k8s.io

roleRef:
  # "roleRef" specifies the binding to a Role / ClusterRole
  kind: Role #this must be Role or ClusterRole
  name: pod-reader # this must match the name of the Role or ClusterRole you wish to bind to
  apiGroup: rbac.authorization.k8s.io

= a ClusterRole + Subjects (Users, Groups, Service Accounts)

apiVersion: rbac.authorization.k8s.io/v1
# This role binding allows "dave" to read secrets in the "development" namespace.
# You need to already have a ClusterRole named "secret-reader".
kind: RoleBinding
metadata:
  name: read-secrets
  #
  # The namespace of the RoleBinding determines where the permissions are granted.
  # This only grants permissions within the "development" namespace.
  namespace: development
subjects:
- kind: User
  name: dave # Name is case sensitive
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

"dave" will only be able to read Secrets in the "development" namespace, because the RoleBinding's namespace is "development".

ClusterRoleBinding

apiVersion: rbac.authorization.k8s.io/v1
# This cluster role binding allows anyone in the "manager" group to read secrets in any namespace.
kind: ClusterRoleBinding
metadata:
  name: read-secrets-global
subjects:
- kind: Group
  name: manager # Name is case sensitive
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

附加说明

创建 Binding 后,不可以修改它所引用的 Role/ClusterRole,如果尝试修改 Binding 的 roleRel 将产生错误。原因有二:
1)“可以为别人授权的用户”,可以在不修改 subjects,但是不影响 roleRef 参数;
2)防止错误调整为其他人意外赋予权限;

可以使用 kubectl auth reconcile 进行修改。

相关文章

「Resource Quotas」-
「Kubernetes Objects」- ReplicationController
「Kubernetes Objects」- Pod(学习笔记)
「Kubernetes Objects」- CronJob(学习笔记)
「Kubernetes Objects」- Labels and Selectors
「Kubernetes Objects」- Job
「Kubernetes Objects」- ConfigMap(学习笔记)

参考文献

Using RBAC Authorization
Using RBAC with Service Accounts in Kubernetes - DZone Cloud
Kubernetes and RBAC: Restrict user access to one namespace · Jeremie Vallee

研究林纳斯的那个系统
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rbac.dev:Kubernetes RBAC的良好实践和工具的集合
05-10
通过Containerum 在RBAC使用Kubernetes配置权限StefanBüringer通过开放策略代理授权KubernetesKubernetes像老板一样配置RBAC,作者EmreSavcı Eviatar Gerzi消除风险性RBAC许可,从而保护Kubernetes集群利用
rbac.authorization.k8s.io/v1beta1 RoleBinding is deprecated in v1.17+, unavailable in v1.22+;
枸杞泡茶的博客
10-18 1万+
在k8s部署ingress的时候出现了下面的错误 Warning: rbac.authorization.k8s.io/v1beta1 ClusterRole is deprecated in v1.17+, unavailable in v1.22+; use rbac.authorization.k8s.io/v1 ClusterRole clusterrole.rbac.authorization.k8s.io/nginx-ingress-clusterrole created Warning:
Kubernetes实录-第一篇-集群部署配置(9) Kubernetes api版本清单以及api版本选择
Vic的博客
01-15 1130
1. Kubernetes api versions清单 如下是Kubernetes 1.18.5 下的API版本清单 # kubectl api-versions 前一部分是apigroup,后一部分是版本 admissionregistration.k8s.io/v1 admissionregistration.k8s.io/v1beta1 apiextensions.k8s.io/v1 apiextensions.k8s.io/v1beta1 apiregistration.k8s.io/v
K8S-解决报错--总结日记
最新发布
mingqing的博客
06-02 3171
排错思路
记录flannel启动报错 no matches for kind “ClusterRole“ in version“rbac.authorization.k8s.io/v1beta1“
weixin_66997758的博客
01-05 2555
记录flannel启动报错的处理方法
k8s安全 认证 鉴权 准入控制之二:授权(Authorization)
热门推荐
张成基
07-06 2万+
系列文章链接 k8s安全 认证 鉴权 准入控制之一:认证(Authentication) k8s安全 认证 鉴权 准入控制之二:授权(Authorization) 授权(Authorization) ·上面认证过程,只是确认通信的双方都确认了对方是可信的,可以相互通信。而鉴权是确定请求方有哪些资源的权 限。API Server 目前支持以下几种授权策略 (通过 API Server 的启动参数 “–authorization-mode” 设置) 默认使用RBAC AlwaysDeny:表示拒绝所有的请
rbac-tool:Kubernetes RBAC Power Toys - 可视化、生成和查询
05-30
RBAC 授权使用rbac.authorization.k8s.io API 组来驱动授权决策,允许您通过 Kubernetes API 动态配置策略。 权限纯粹是附加的(没有“拒绝”规则)。 角色总是在特定的命名空间内设置权限; 创建角色时,必须...
guard::key:Kubernetes身份验证和授权WebHook服务器
04-28
这使群集管理员可以根据组的成员身份设置RBAC规则。 Guard支持以下身份验证提供程序:GitLab 支持的版本Kubernetes 1.9以上 安装要安装Guard,请按照此处的指南进行操作。 使用守卫想学习如何使用Guard? 请从...
防护::key:Kubernetes身份验证和授权WebHook服务器
02-03
这使群集管理员可以基于组的成员身份设置RBAC规则。 Guard支持以下身份验证提供程序: 支持的版本Kubernetes 1.9以上安装要安装Guard,请按照的指南进行操作。使用守卫想学习如何使用Guard? 请从开始。贡献准则...
Kubernetes RBAC with Openssl Authentication.pdf
08-22
Kubernetes RBAC with Openssl Authentication 介绍k8s的认证授权机制
kubernetes系列之《k8s基于RBAC授权
西西工作室
04-02 950
一、RBAC介绍 基于角色的访问控制(Role-Based Access Control,即“RBAC”)使用rbac.authorization.k8s.io” Apo Group实现授权决策,允许管理员通过Kubernetes Api动态配置策略。 要启用RBAC,请使用 --authorization-mode=RBAC启动API Server。 在RABC API,通过如下的步骤进行授...
Kubernetes - 使用RBAC授权
好记性不如烂笔头
05-03 3606
https://kubernetes.io/docs/admin/authorization/rbac/ Role and ClusterRole 一个角色包括多种权限的规则,权限是纯粹的加法(没有“否定”规则)。一个角色可以在一个命名空间定义为一个Role,或者在集群定义为ClusterRole。 一个在默认namespace赋予pods读权限的例子: kind
User “system:serviceaccount:xxxx:default“ cannot get resource “namespaces“ in API group ““
qq_37928045的博客
04-28 2947
namespaces “monitoring” is forbidden: User “system:serviceaccount:kube-system:default” cannot get resource “namespaces” in API group “” in the namespace “monitoring” 这里大概是说,使用 kube-system 命名空间下的default用户进行资源操作但是default 用户没有权限 解决方案如下: 创建一个 tillerServiceAcco
(八)k8s安全
卷心菜投手
01-14 967
k8s安全
Kubernetes 集群安全- Authorization鉴权,RBAC授权方法,RBAC实例
北海牧野
06-24 2018
个人学习记录Kubernetes 集群安全 - 机制说明Authorization 鉴权RBAC 授权模式RBAC 的 API 资源对象说明一、Verbs 动作二、apiGroups API接口组三、JOSN 证书Role and ClusterRole一、Role二、ClusterRoleRoleBinding and ClusterRoleBinding一、Role - RoleBinding二、ClusterRole - RoleBinding三、ClusterRole - ClusterRoleB
serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard“
kongkong的专栏
04-22 3468
错误信息 serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “serviceaccounts” in API group “” in the namespace “default” 费了老大的功夫才明白是serviceaccount的问题,k8sdashboard出厂的serviceaccount权限太低,需要配置
Kubernetes角色访问控制RBAC和权限规则(Role+ClusterRole)---好文
Vic的博客
11-02 640
Role与ClusterRole在RBACAPI,一个角色定义了一组特定权限的规则。namespace范围内的角色由Role对象定义,而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。RoleRole对象只能用于授予对某一namespace资源的访问权限。kindRoleapiVersionmetadatanamespacedefaultnamerules[""]#空字符串""表明使用coreAPIgroupresources。...
Kubernetes(k8s)权限管理RBAC详解
ss810540895的博客
02-09 1356
kubernetes 集群相关所有的交互都通过apiserver来完成,对于这样集式管理的系统来说,权限管理尤其重要,在1.5版的时候引入了RBAC(Role Base Access Control)的权限控制机制。启用RBAC,需要在 apiserver 添加参数–authorization-mode=RBAC,如果使用的kubeadm安装的集群,1.6+版本都默认开启了RBAC。AlwaysDeny:表示拒绝所有请求,一般用于测试。:允许接收所有请求。
Kubernetes(K8S)之学废了(十):安全认证
weixin_47712609的博客
07-04 340
安全认证 文章目录安全认证访问控制概述一、认证管理二、授权管理准入控制 访问控制概述 Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。所谓的安全性其实就是 保证对Kubernetes的各种客户端进行认证和鉴权操作。 客户端 在Kubernetes集群,客户端通常有两类: User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。 service Account: kubernetes管理的账号,用于为Pod的服务进程在访问Kuber
k8s rbac 在业务服务如何应用
05-12
在业务服务RBAC 可以应用于以下方面: 1. 对不同用户或团队进行授权:通过创建不同的角色和角色绑定,可以对不同的用户或团队进行授权,从而使其只能访问其需要的资源。 2. 对不同的命名空间进行授权:通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值