基于RBAC的k8s集群权限管控案例

已于 2023-12-18 10:54:32 修改
阅读量1k 收藏 18
点赞数 20
分类专栏: kubernetes 文章标签: kubernetes 容器 云原生
于 2023-12-18 10:52:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013774469/article/details/135057590
版权

在日常的kubernetes集群维护过程中,常常涉及多团队协作,不同的团队有不同的操作和权限需求。比如,运维团队需要有node的所有操作权限,以便对集群进行节点的扩缩容等日常维护工作,但资产运营团队通常只需要node的查看权限,以便完成资产信息的统计分析即可。当然,在实际的业务场景中,一个团队,到底需要操作什么,允许操作什么,往往比上述例子复杂的多。为了应对实际业务场景中的复杂权限管控诉求,kubernetes提供了基于RBAC的权限管控机制。

接下来,将通过一个实践例子,逐步实现一个权限管理目标:资产运营团队仅能查看node信息,不能查看和操作其他对象。

Step1:创建serviceAccount

创建名为serviceAccount.yaml的文件,内容如下:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: test
  namespace: default

创建并查看serviceAccount:

$ kubectl create -f serviceAccount.yaml
$ kubectl get serviceAccout | grep test

获取serviceAccount的信息:

$ kubectl get serviceAccount test -o yaml

apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2023-12-08T03:13:05Z
  name: test
  namespace: default
  resourceVersion: "99773705"
  selfLink: /api/v1/namespaces/default/serviceaccounts/test
  uid: c2db455c-57d4-11ec-b464-848f69e3eeb4
secrets:
- name: test-token-wvmkx

从上述输出的信息中,能够获得其对应的secret名称为test-token-wvmkx。通过secret名称能获得对应的token:

$ kubectl describe secret test-token-wvmkx

Name:         test-token-wvmkx
Namespace:    default
Labels:       <none>
Annotations:  kubernetes.io/service-account.name=test
              kubernetes.io/service-account.uid=c2db455c-57d4-11ec-b464-848f69e3eeb4

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1025 bytes
namespace:  7 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6InRlc3QtdG9rZW4td3Zta3giLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoidGVzdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImMyZGI0NTVjLTU3ZDQtMTFlYy1iNDY0LTg0OGY2OWUzZWViNCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OnRlc3QifQ.cdzShIX7IJj2sLS8h_LNpIRiDF8mXkex7GgPQUUxTbKFZ0cIZbMt5zDpxH4NN4XFqa4U4EY0KT-3OcVDCM7AtVBzR-3QV0qYB1mNf-A95Jec9woAAqkE7MwV61e2Qptb2XoYX8gjzPUX55IALoT69Oueq6QF-Qmv33htobnqM3hJVQPNihGAzK433ptr7qTcIyJ1cpMlV_vJDA8L5AQYJ7dZgsV7klvg16H0-LXzLm13UqzRvDyJ3oqbFSEatPjbSEbdU5GChorDGLw1R2ftjrS7Egojh3YMjPR-WOrwP_9s6EazMo104DO4Yc4Cujm5SmLyzG16XayiWM5mvJey7Q

此时,token已经可以用于dashboard 的登录认证,但是还无法通过授权,因为还没有对serviceAccount进行角色绑定。

Step2:创建ClusterRole

创建名为clusterRole.yaml的文件,内容如下,我们定义了名为node-get的角色,该角色只允许对nodes资源对象进行getlist操作。如果需要对其他的资源对象权限管控,可以在resources字段下进行添加,verbs字段下定义允许的操作类型。

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: node-get
rules:
- apiGroups:
  - ""
  resources:
  - nodes
  verbs:
  - get
  - list

创建clusterRole:

$ kubectl create -f clusterRole.yaml

Step3:ClusterRoleBinding

创建名为clusterRolleBinding.yaml的文件,内容如下。我们绑定了clusterRoleserviceAccount,绑定之后,对应的serviceAccount就拥有了clusterRole中赋予的权限。

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-node-get
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: node-get
subjects:
- kind: ServiceAccount
  name: test
  namespace: default
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

创建clusterRoleBinding:

$ kubectl create -f clusterRoleBinding.yaml

到此,kubernetes集群服务端的设置完成,可以基于Step1中的token进行dashboard或API的登录认证和授权。但如果用户是通过kubectl进行集群操作的话,我们还需要给用户创建kubeconfig文件,以便用户能够方便使用kubectl工具。

Step4:创建用户认证授权的kubeconfig文件

1、CA认证方式

1.1 生成用户证书

创建文件test.config

[req]
req_extensions     = v3_req
distinguished_name = req_distinguished_name
prompt             = no

[req_distinguished_name]
CN = test

[ v3_req ]
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = TLS Web Client Authentication
subjectAltName = @alt_names

[alt_names]
IP.1 = 172.31.96.144
IP.3 = 127.0.0.1
IP.4 = 10.96.0.1

创建证书(备注:客户端的证书必须经过集群CA的签署,否则不会被认可):

$ openssl genrsa -out test.key 2048
$ openssl req -new -key test.key -out test.csr -config test.config
$ openssl x509 -req -in test.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out test.crt -sha256 -days 3650 -extensions v3_req -extfile test.config

1.2 生成kubeconfig文件

设置集群参数:

$ kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true \
--server=https://172.31.96.144:6443 \
--kubeconfig=test.kubeconfig

设置客户端认证参数:

$ kubectl config set-credentials test \
--client-certificate=test.crt \
--client-key=test.key \
--embed-certs=true \
--kubeconfig=test.kubeconfig

设置上下文参数:

$ kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=test \
--namespace=default \
--kubeconfig=test.kubeconfig

设置默认上下文:

$ kubectl config use-context kubernetes --kubeconfig=test.kubeconfig

验证:

$ kubectl get node --kubeconfig=test.kubeconfig

2、token认证方式

设置集群参数:

$ kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true \
--server=https://172.31.96.144:6443 \
--kubeconfig=test.token

设置客户端认证参数:

$ kubectl config set-credentials test \
--token=eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6InRlc3QtdG9rZW4td3Zta3giLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoidGVzdCIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImMyZGI0NTVjLTU3ZDQtMTFlYy1iNDY0LTg0OGY2OWUzZWViNCIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OnRlc3QifQ.cdzShIX7IJj2sLS8h_LNpIRiDF8mXkex7GgPQUUxTbKFZ0cIZbMt5zDpxH4NN4XFqa4U4EY0KT-3OcVDCM7AtVBzR-3QV0qYB1mNf-A95Jec9woAAqkE7MwV61e2Qptb2XoYX8gjzPUX55IALoT69Oueq6QF-Qmv33htobnqM3hJVQPNihGAzK433ptr7qTcIyJ1cpMlV_vJDA8L5AQYJ7dZgsV7klvg16H0-LXzLm13UqzRvDyJ3oqbFSEatPjbSEbdU5GChorDGLw1R2ftjrS7Egojh3YMjPR-WOrwP_9s6EazMo104DO4Yc4Cujm5SmLyzG16XayiWM5mvJey7Q \
--kubeconfig=test.token

设置上下文参数:

$ kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=test \
--namespace=default \
--kubeconfig=test.token

设置默认上下文:

$ kubectl config use-context kubernetes --kubeconfig=test.token

验证:

$ kubectl get node --kubeconfig=test.token

Step5:自动化

手动创建kubeconfig文件相对繁琐,一下提供基于token认证方式的自动脚本。

创建文件kubeconfig.sh,内容如下:

#!/bin/sh
set -e
echo "input serviceAccount:"
read serviceAccount

if [ "$serviceAccount" == "" ]
then
        echo "serviceAccount is empty"
        exit 1
fi

echo "input namespace:"
read namespace
if [ "$namespace" == "" ]
then
        echo "namespace is empty"
        exit 2
fi

secretName=$(kubectl get serviceAccount $serviceAccount -n $namespace -o jsonpath='{.secrets[0].name}')
token=$(kubectl get secret $secretName -n $namespace -o jsonpath='{.data.token}' | base64 -d)

currentContext=$(kubectl config view -o jsonpath='{.current-context}')
cluster=$(kubectl config view -o jsonpath="{.contexts[?(@.name == \"$currentContext\")].context.cluster}")
apiserver=$(kubectl config view -o jsonpath="{.clusters[?(@.name == \"$cluster\")].cluster.server}")

kubectl get secret $secretName -n $namespace -o jsonpath='{.data.ca\.crt}' | base64 -d > ca.crt

kubectl config set-cluster kubernetes \
--certificate-authority=ca.crt \
--embed-certs=true \
--server=$apiserver \
--kubeconfig=config

kubectl config set-credentials $serviceAccount --token=$token --kubeconfig=config

kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=$serviceAccount \
--kubeconfig=config

kubectl config use-context kubernetes --kubeconfig=config

根据脚本提示输入serviceAccount的信息,完成config的创建,通过如下命令完成验证:

kubectl get node --kubeconfig=config
樛木南雨
关注
专栏目录
Kubernetes入门 十六、访问控制
qq_43745578的博客
09-13 154
Kubernetes访问控制
K8S 集群中的认证、授权与kubeconfig
weixin_38320674的博客
04-07 7146
两种用户k8s中的客户端访问有两类用户:普通用户(Human User),一般是集群外访问,如 kubectl 使用的证书service account: 如集群内的 Pod有什么区别呢?...
Docker & kubernetes(k8s) 集群搭建
dddxxy的博客
08-09 8327
文章目录kubernetes介绍:kubernetes组件:kubernetes安装:kubernetes集群搭建:1.管理节点初始化2. 开启kubelet服务,加入集群3.创建普通用户,进行集群管理4. 网络配置可视化插件网页登陆: kubernetes介绍: kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化...
k8s virtual cluster 虚拟集群多租户解决方案
qq_18730155的博客
12-22 2414
Kubernetes多租户vcluster解决方案 云平台 容器k8s 多租户
k8s基础11——安全控制之RBAC用户授权、RBAC用户组授权、SA程序授权
百慕卿君博客
05-14 1802
1、K8s安全框架和基本概念。 2、RBAC用户授权、用户组授权、sa程序授权。
云原生k8s集群资源监控平台搭建—20230227
我是小bā吖的博客
02-27 523
k8s资源监控平台搭建步骤
使用kubeadm部署一个K8s集群
weixin_54632015的博客
04-08 315
Kubernetes 系统简介 Kubernetes优势: - 容器编排     - 轻量级     - 开源     - 弹性伸缩     - 负载均衡 Kubernetes 特性 Endpoint Slices Kubernetes 集群中网络端点的可扩展跟踪。 服务发现与负载均衡 无需修改您的应用程序即可使用陌生的服务发现机制。Kubernetes容器提供了自己的 IP 地址和一个 DNS 名称,并且可以在它们之间实现负载平衡。 自我修复 重新启动失败的容器,在节点死亡时替换并重新调度容器,杀
k8s:概念以及搭建高可用集群
yubin1285570923的博客
12-08 4332
一、k8s概念和架构 二、从零搭建k8s集群 1、基于客户端工具kubeadm 2、基于二进制包安装k8s 三、k8s核心概念 1 、pod 2 、Conttroller 3、Service ,Ingress 4、RABC 5、Helm 四、搭建集群监控平台系统 五、从零搭建高可用k8s集群 六、在集群环境部署项目 ...
k8s 安全策略最佳实践
KubeSphere
04-11 2800
作者:万宏明,KubeSphere member,负责 KubeSphere 安全和多租户团队 随着 K8s 在生产和测试环境中用的越来越多,对安全性的关注也会越来越多,所以本文主要是给大家分享以下内容: 了解 K8s 环境面临的安全风险 了解 K8s 提供的安全机制 改善 K8s 安全状况的最佳实践 1. K8s 安全风险 这张图是 CNCF 金融用户小组总结的 K8s 信任边界图,它把在 K8s 环境中的信任边界划分成三大块儿。 容器镜像相关部分,主要涉及到的安全攻击点就是镜像仓库和镜像本.
如何在Kubernetes集群中使用kubectl工具来进行管理多个外部K8S集群接入与资源操作?...
WeiyiGeek 唯一极客IT知识分享
05-25 581
关注「WeiyiGeek」公众号设为「特别关注」每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:0x03 Kubernetes 中多集群接入管理实践1.本地集群创建指定用户管理集群2.外部集群创建指定用户管理集群原文地址:https://blog.weiyigeek.top/2022/2-27-620.html0x03 Kubernetes 中多集群接入...
KubernetesK8s笔记(十一):Ingress 集群进出流量总管
虚幻私塾
10-22 1067
目录*
如何基于标准k8s打造边缘计算云原生基础设施?
边缘计算社区
12-06 3267
12月3日,在边缘计算社区社群上,阿里云高级技术专家黄玉奇做了《云边一体——如何基于标准k8s打造边缘计算云原生基础设施》主题分享,黄老师在阿里云做容器服务,近几年一直从事云原生相关领域工作。本文根据黄老师分享整理,一共6300字,干货满满,预计阅读19分钟! 引言 云原生的理念如今正如火如荼。它不仅仅是一种技术,更是随着云生态的发展而被逐渐提炼出的一系列技术、最佳实践与方法论的集合;它带来了资源...
Docker集群管理工具-Kubernetes1.10.6(k8s)四节点集群使用kubeadm部署流程(一)
qq_24513043的博客
09-06 2611
一:Kubernetes介绍 1: Kubernetes是什么 Kubernetes是Google开源的容器集群管理系统,是基于Docker构建一个容器的调度服务,提供资源调度、均衡容灾、服务注册、动态扩缩容等功能套件。 Kubernetes提供应用部署、维护、 扩展机制等功能,利用Kubernetes能方便地管理跨机器运行容器化的应用,其主要功能如下: 1) 使用Docker对应用程...
K8s基本概念
King_DJF的博客
02-06 1784
文章目录1. Kubernetes简介1.1 是什么1.2 用途2. Kubernetes组件结构与基本概念2.1 结构2.2 核心组件2.2.1 K8s API server2.2.2 Controller Manager2.2.3 Scheduler调度器2.2.4 kubelet2.2.5 kubernetes Service Proxy2.3 基本概念3. 资源对象定义基本与常用命令3.1...
k8s Helm
巧克力人生的博客
09-08 1100
了解HelmHelm是kubernetes中查找、分享、构建应用的最佳方式。Helm是一个Kubernetes应用的包管理工具,用来管理chart(一种预先配置好的安装包资源),有点类似于Ubuntu 的APT和CentOS/Rocky中的YUM。因此,helm的出现解决了k8s应用管理能力缺失的问题。另外Helm也是dev和ops的桥梁,运维人员在使用Helm的时候,一方面不需要理解大量在Chart中的各种k8s元素,只需要配置少量的环境变量即可安装;
k8s API资源对象
巧克力人生的博客
09-06 778
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运行pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
KubernetesK8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
最新发布
书山有路,学海无涯。记录成长,追逐梦想
09-10 1298
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多行 JSON 格式的文件,该文件中的每一行都是一个策略(即一个 JSON 对象)。
k8s HPA
巧克力人生的博客
09-07 681
HPA可以基于CPU利用率对replication controller、deployment和replicaset中的pod数量进行自动扩缩容(除了CPU利用率,也可以基于其他应用程序提供的度量指标custom metrics进行自动扩缩容)。将image: k8s.gcr.io/metrics-server/metrics-server:v0.6.2 修改为 image: aminglinux/metrics-server:v0.6.2。pod自动缩放不适用于无法缩放的对象,比如daemonsets。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值