kuber-apiserver源码分析之RBAC

最新推荐文章于 2024-01-16 15:51:22 发布
最新推荐文章于 2024-01-16 15:51:22 发布
阅读量257 收藏
点赞数
分类专栏: GO kubernetes
原文链接:https://juejin.im/post/5c934e5a5188252d7c216981
版权

Apiserver中与权限相关的主要有三种机制,即潮涌的认证、鉴权、和准入控制。对apiserver来说,主要提供的就是rest风格的接口,所以各种权限最终还是集中到对接口权限判断上。以最核心的kubeAPIConfig举例,在CreateServerChain方法中,调用了CreateKubeAPIServerConfig的方法,该方法主要的作用是创建kubeAPIServer的配置,进入该方法,调用buildGenericConfig创建一些通用的配置,在NewConfig下,返回了DefaultBuildHandlerChain,该方法主要就是用来对apiserver接口的链式判断,即俗称的filter操作。

func DefaultBuildHandlerChain(apiHandler http.Handler, c *Config) http.Handler {
	handler := genericapifilters.WithAuthorization(apiHandler, c.Authorization.Authorizer, c.Serializer)
	handler = genericfilters.WithMaxInFlightLimit(handler, c.MaxRequestsInFlight, c.MaxMutatingRequestsInFlight, c.LongRunningFunc)
	handler = genericapifilters.WithImpersonation(handler, c.Authorization.Authorizer, c.Serializer)
	handler = genericapifilters.WithAudit(handler, c.AuditBackend, c.AuditPolicyChecker, c.LongRunningFunc)
	failedHandler := genericapifilters.Unauthorized(c.Serializer, c.Authentication.SupportsBasicAuth)
	failedHandler = genericapifilters.WithFailedAuthenticationAudit(failedHandler, c.AuditBackend, c.AuditPolicyChecker)
	handler = genericapifilters.WithAuthentication(handler, c.Authentication.Authenticator, failedHandler, c.Authentication.APIAudiences)
	handler = genericfilters.WithCORS(handler, c.CorsAllowedOriginList, nil, nil, nil, "true")
	handler = genericfilters.WithTimeoutForNonLongRunningRequests(handler, c.LongRunningFunc, c.RequestTimeout)
	handler = genericfilters.WithWaitGroup(handler, c.LongRunningFunc, c.HandlerChainWaitGroup)
	handler = genericapifilters.WithRequestInfo(handler, c.RequestInfoResolver)
	handler = genericfilters.WithPanicRecovery(handler)
	return handler
}

配置文件创建完成后,再进行创建工作,进入到CreateKubeAPIServer方法,在初始化go-restful的Container的方法内,可以看到

	handlerChainBuilder := func(handler http.Handler) http.Handler {
		return c.BuildHandlerChainFunc(handler, c.Config)
	}

handkerChainBuilder 方法就是对返回的DefaultHandlerChain方法的一种封装,并作为参数传入到NewAPIServerHandler方法内,并作为参数传入到NewAPIServerHandler方法内。进入NewAPIServerHandler方法,如下:

func NewAPIServerHandler(name string, s runtime.NegotiatedSerializer, handlerChainBuilder HandlerChainBuilderFn, notFoundHandler http.Handler) *APIServerHandler {
	nonGoRestfulMux := mux.NewPathRecorderMux(name)
	if notFoundHandler != nil {
		nonGoRestfulMux.NotFoundHandler(notFoundHandler)
	}

	gorestfulContainer := restful.NewContainer()
	gorestfulContainer.ServeMux = http.NewServeMux()
	gorestfulContainer.Router(restful.CurlyRouter{}) // e.g. for proxy/{kind}/{name}/{*}
	gorestfulContainer.RecoverHandler(func(panicReason interface{}, httpWriter http.ResponseWriter) {
		logStackOnRecover(s, panicReason, httpWriter)
	})
	gorestfulContainer.ServiceErrorHandler(func(serviceErr restful.ServiceError, request *restful.Request, response *restful.Response) {
		serviceErrorHandler(s, serviceErr, request, response)
	})

	director := director{
		name:               name,
		goRestfulContainer: gorestfulContainer,
		nonGoRestfulMux:    nonGoRestfulMux,
	}

	return &APIServerHandler{
		FullHandlerChain:   handlerChainBuilder(director),
		GoRestfulContainer: gorestfulContainer,
		NonGoRestfulMux:    nonGoRestfulMux,
		Director:           director,
	}
}

配置中通过将director作为参数传到handlerChainbuilder的回调方法内,完成对gorestfulContainer的handler的注册工作,其实director就是实现在http.Handler的变量,所以,整个的处理逻辑就是将类型为http.Handler的director作为参数,传递到链式filter的DefaultBuildHandlerChain方法内,通过DefaultBuildHandlerChain对每一个步骤的filter操作,权限控制等之类的操作,完成类似于filter的功能之后,后续就是启动工作,包括证书验证、TLS认证之类的工作,主要是看filter的DefaultBuildHandlerChain方法是如何处理接口的鉴权操作。

RBAC启动
kubernetes中比较重要的用的比较多的可能就是RBAC了,在DefaultBuildHandlerChain方法内,通过调用genericapifilters.withAuthorization方法,实现对每个接口的权限filter操作,WithAuthorization方法如下

func WithAuthorization(handler http.Handler, a authorizer.Authorizer, s runtime.NegotiatedSerializer) http.Handler {
	if a == nil {
		klog.Warningf("Authorization is disabled")
		return handler
	}
	return http.HandlerFunc(func(w http.ResponseWriter, req *http.Request) {
		ctx := req.Context()
		ae := request.AuditEventFrom(ctx)

		attributes, err := GetAuthorizerAttributes(ctx)
		if err != nil {
			responsewriters.InternalError(w, req, err)
			return
		}
		authorized, reason, err := a.Authorize(attributes)
		// an authorizer like RBAC could encounter evaluation errors and still allow the request, so authorizer decision is checked before error here.
		if authorized == authorizer.DecisionAllow {
			audit.LogAnnotation(ae, decisionAnnotationKey, decisionAllow)
			audit.LogAnnotation(ae, reasonAnnotationKey, reason)
			handler.ServeHTTP(w, req)
			return
		}
		if err != nil {
			audit.LogAnnotation(ae, reasonAnnotationKey, reasonError)
			responsewriters.InternalError(w, req, err)
			return
		}

		klog.V(4).Infof("Forbidden: %#v, Reason: %q", req.RequestURI, reason)
		audit.LogAnnotation(ae, decisionAnnotationKey, decisionForbid)
		audit.LogAnnotation(ae, reasonAnnotationKey, reason)
		responsewriters.Forbidden(ctx, attributes, w, req, reason, s)
	})
}

1.调用GetAuthorizerAttributes方法获取配置的各种属性值;
2.调用Authorize方法判断权限是否通过,不同的权限实现实现其接口,完成鉴权任务;
在这里插入图片描述
可以看到,就包含有RBAC单独的处理;
3,如果鉴权成功通过,则调用handler.ServeHTTP方法继续下一步的filter操作;否则,直接返回错误信息。
以RBAC为例,Authorize方法最终调用VisitRulesFor方法实现权限的判断,在方法kubernetes/pkg/registry/rbac/validation/rule.go文件内。VisitRulesFor主要代码如下

func (r *DefaultRuleResolver) VisitRulesFor(user user.Info, namespace string, visitor func(source fmt.Stringer, rule *rbacv1.PolicyRule, err error) bool) {
	if clusterRoleBindings, err := r.clusterRoleBindingLister.ListClusterRoleBindings(); err != nil {
		if !visitor(nil, nil, err) {
			return
		}
	} else {
		sourceDescriber := &clusterRoleBindingDescriber{}
		for _, clusterRoleBinding := range clusterRoleBindings {
			subjectIndex, applies := appliesTo(user, clusterRoleBinding.Subjects, "")
			if !applies {
				continue
			}
			rules, err := r.GetRoleReferenceRules(clusterRoleBinding.RoleRef, "")
			if err != nil {
				if !visitor(nil, nil, err) {
					return
				}
				continue
			}
			sourceDescriber.binding = clusterRoleBinding
			sourceDescriber.subject = &clusterRoleBinding.Subjects[subjectIndex]
			for i := range rules {
				if !visitor(sourceDescriber, &rules[i], nil) {
					return
				}
			}
		}
	}

	if len(namespace) > 0 {
		if roleBindings, err := r.roleBindingLister.ListRoleBindings(namespace); err != nil {
			if !visitor(nil, nil, err) {
				return
			}
		} else {
			sourceDescriber := &roleBindingDescriber{}
			for _, roleBinding := range roleBindings {
				subjectIndex, applies := appliesTo(user, roleBinding.Subjects, namespace)
				if !applies {
					continue
				}
				rules, err := r.GetRoleReferenceRules(roleBinding.RoleRef, namespace)
				if err != nil {
					if !visitor(nil, nil, err) {
						return
					}
					continue
				}
				sourceDescriber.binding = roleBinding
				sourceDescriber.subject = &roleBinding.Subjects[subjectIndex]
				for i := range rules {
					if !visitor(sourceDescriber, &rules[i], nil) {
						return
					}
				}
			}
		}
	}
}

主要工作就是对clusterRoleBinding以及roleBinding与配置的资源进行判断,比较清晰明了,这与我们使用的RBAC的思路基本一致。

宋小贝
关注
专栏目录
k8s二进制安装-5,安装kube-apiserver
大老表的博客
02-17 6115
下载kubernetes 二进制文件 cd /usr/local/src/ wget http://xxxxx/1.19/kubernetes-server-linux-amd64.tar.gz tar xzf kubernetes-server-linux-amd64.tar.gz kubernetes cd kubernetes/server/bin/ cp kube-apiserver kube-controller-manager kube-scheduler kubectl /opt/kuber
云原生之Kubernetes:17.详解ApiserverRBAC
LQ的博客
09-01 376
详解ApiserverRBAC
kube-apiserver rbac鉴权源码分析
Qinng的博客
04-25 1042
简介 kube-apiserver中与权限相关的主要有三种机制,即认证、鉴权和准入控制。上节讲到认证流程。 认证与授权很容易混淆: 认证(Authentication), 负责检查你是谁,识别user 授权(Authorization), 你能做什么,是否允许User对资源的操作 审计(Audit), 负责记录操作信息,方便后续审查 本文主要分析apiserverrbac授权流程。 认证流程...
17.ApiserverRBAC
LQ的博客
10-21 109
17.ApiserverRBAC 1.如何保证Kubernetes系统安全 如何保证Kubernetes系统安全,我们可以从以下三大部分进行学习、研究和设计: 1.Apiserver 首当其冲的就是apiserver,他是系统安全三板斧中的第一道关卡,其作用为: 谁能进入我们的kubernetes集群,这个谁可以是客户端用户、应用程序,也可以是集群中的node节点。 说到这里,你可能对后半句话有些疑虑。 防范外部的访问我是知道的,为什么还要防范集群内部的请求呢? 容我先来举个例子。 如果你了解、
k8s APIserver 安全机制之 rbac 授权
热门推荐
高飞的博客
11-11 25万+
k8s 认证、授权、准入控制机制
Kubernetes_认证授权_RBAC_静态Pod网关apiserver底层的RBAC授权
毛毛的专栏
10-15 337
静态Pod网关apiserver底层的RBAC授权
kuber-ez:Kuber-ez是一种基于Web的工具,用于以可视方式进行kubernetes清单清单和操作工具,只需要对Yaml和CLI有所了解
05-02
Kuber-ez Kuber-ez是一种基于Web的工具,用于以可视方式进行kubernetes清单清单和操作工具,只需要对Yaml和CLI有所了解 YouTube: 基本对象编辑: : Istio对象编辑: ://youtu.be/t0utOq4dosc 在线的: 或 快照...
PyPI 官网下载 | kuber-1.6.0.tar.gz
01-12
解压完成后,你会得到一个名为kuber-1.6.0的目录,里面包含了库的源码。接下来,我们可以选择手动安装或者通过pip进行安装。手动安装通常涉及编译源码,这需要确保你的系统已经安装了Python的开发环境,包括Python...
PyPI 官网下载 | kuber-1.4.0-py2.py3-none-any.whl
02-07
**PyPI官网下载 | kuber-1.4.0-py2.py3-none-any.whl** 在Python的世界中,PyPI(Python Package Index)是官方的第三方软件仓库,它为Python开发者提供了一个集中化的地方来发布和下载各种Python库。这个资源"PyPI...
Kubernetes APIServer 限流策略
小楼一夜听春雨,深巷明朝卖杏花
07-26 2184
之前说过了,认证,鉴权,准入,这三个重要的环节。到此为止k8sapiserver就已经将请求继续往后传递了,作为rest服务器,它一定要有自我保护机制,这个自我保护的机制最核心的就是限流。作为web服务器,处理能力是有上限的,不能无休止的接受用户的请求,所以要做一个约定说这边能够接受多少请求。下面来看看限流有哪些传统的方法。............
Kubernetes运维篇】RBAC认证授权详解(一)
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限,RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
kube-apiserver 权限控制
最新发布
Lemon熊的博客
01-16 1112
kube-apiserverKubernetes API Server)作为Kubernetes集群的请求入口,接收集群中组件与客户端的访问请求,kube-apiserver对接口请求访问,提供了3种安全权限控制,每个请求都需要经过认证、授权及准入控制器才有权限操作资源对象。
k8s API限流
任我行的博客
04-03 685
参考文档:https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/admission-controllers/#eventratelimit。但是如果请求的group中含有 system:masters,则放行, 因为apiserver认为这个组是很重要的请求,不能被限流.client-go默认的qps为5,但是只支持客户端限流,只能由各个发起端限制。所有namespace的限流相同,没有优先级。如果队列未满,有空位置,则更新排队数字。
Kube-apiserver源码分析-Handler
u014152978的博客
06-21 633
1.启动入口 kube-apiserver启动入口在 cmd/kube-apiserver/app/server.go的Run()函数中: // Run runs the specified APIServer. This should never exit. func Run(completeOptions completedServerRunOptions, stopCh <-chan struct{}) error { // To help debugging, immedi.
Kubernetes 1.6新特性:RBAC授权
程序源234的专栏
04-15 1万+
概述 Kuberntes中API Server的访问控制过程图示如下: 在Kubernetes中,授权(authorization)是在认证(authentication)之后的一个步骤。授权就是决定一个用户(普通用户或ServiceAccount)是否有权请求Kubernetes API做某些事情。 之前,Kubernetes中的授权策略主要是ABAC(Attribut
Golang — RESTful框架 go-restful
李少侠
07-03 3019
go-restful 是一个 Golang 第三方库,是一个轻量的 RESTful API 框架,基于 Golang Build-in 的 http/net 库。适用于构建灵活多变的 Web Application,Kubernetes 的 ApiServer 也使用了 go-restful。
基于RBAC方式从Pod内访问API server
u013431916的博客
04-23 4606
关于Kubernetes中基于角色的访问控制(RBAC)的介绍可以参考文章:Kubernetes RBAC当在物理机上执行kubectl时,会自动根据~/.kube/config文件配置kubectl,其中包含一些权限信息,这样API server就可以根据权限信息决定是否执行来自kubectl的请求。然而在Pod内要想访问API server,更常用的方法是利用service account来验...
KubeSphere 后端源码深度解析
KubeSphere
01-20 1709
这篇文章我们将学习在 vscode 上的 ssh remote 插件基础上,尝试 debug 和学习 KubeSphere 后端模块架构。 前提 安装好 vscode 以及 ssh remote container 插件; 在远程主机上安装好 kubenertes 容器 " 操作系统 " 和 KubeSphere >= v3.1.0 云“控制面板”; 安装 go >=1.16; 在 KubeSphere 上安装了需要 debug 的 ks 组件,如 devops、kubee
【数据结构篇】请求队列InFlightRequest
码上学习
07-21 3859
1.请求队列简单介绍: InFlightRequest是client的请求队列。max.in.flight.requests.per.connection配置请求队列大小,默认5,请求队列中存放的是在发送途中的请求,包括:正在发送的请求和已经发送的但还没有接收到response的请求;请求队列满了,发送消息将会发生阻塞。也就是发往同一个node的最大未响应请求数。 具体实现是: sender线程在...
Python库kuber-1.6.0版本官方下载指南
资源摘要信息:"PyPI 官网下载 | kuber-1.6.0.tar.gz" 知识点: 1. PyPI官网: PyPI是Python Package Index的缩写,是Python的官方软件仓库,用于存储和分发第三方Python包。它允许用户上传和下载各种第三方包,这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值