kuber-apiserver源码分析之RBAC

最新推荐文章于 2023-07-08 21:16:18 发布
最新推荐文章于 2023-07-08 21:16:18 发布
阅读量215 收藏
点赞数
分类专栏: GO kubernetes
原文链接:https://juejin.im/post/5c934e5a5188252d7c216981
版权

Apiserver中与权限相关的主要有三种机制,即潮涌的认证、鉴权、和准入控制。对apiserver来说,主要提供的就是rest风格的接口,所以各种权限最终还是集中到对接口权限判断上。以最核心的kubeAPIConfig举例,在CreateServerChain方法中,调用了CreateKubeAPIServerConfig的方法,该方法主要的作用是创建kubeAPIServer的配置,进入该方法,调用buildGenericConfig创建一些通用的配置,在NewConfig下,返回了DefaultBuildHandlerChain,该方法主要就是用来对apiserver接口的链式判断,即俗称的filter操作。

func DefaultBuildHandlerChain(apiHandler http.Handler, c *Config) http.Handler {
	handler := genericapifilters.WithAuthorization(apiHandler, c.Authorization.Authorizer, c.Serializer)
	handler = genericfilters.WithMaxInFlightLimit(handler, c.MaxRequestsInFlight, c.MaxMutatingRequestsInFlight, c.LongRunningFunc)
	handler = genericapifilters.WithImpersonation(handler, c.Authorization.Authorizer, c.Serializer)
	handler = genericapifilters.WithAudit(handler, c.AuditBackend, c.AuditPolicyChecker, c.LongRunningFunc)
	failedHandler := genericapifilters.Unauthorized(c.Serializer, c.Authentication.SupportsBasicAuth)
	failedHandler = genericapifilters.WithFailedAuthenticationAudit(failedHandler, c.AuditBackend, c.AuditPolicyChecker)
	handler = genericapifilters.WithAuthentication(handler, c.Authentication.Authenticator, failedHandler, c.Authentication.APIAudiences)
	handler = genericfilters.WithCORS(handler, c.CorsAllowedOriginList, nil, nil, nil, "true")
	handler = genericfilters.WithTimeoutForNonLongRunningRequests(handler, c.LongRunningFunc, c.RequestTimeout)
	handler = genericfilters.WithWaitGroup(handler, c.LongRunningFunc, c.HandlerChainWaitGroup)
	handler = genericapifilters.WithRequestInfo(handler, c.RequestInfoResolver)
	handler = genericfilters.WithPanicRecovery(handler)
	return handler
}

配置文件创建完成后,再进行创建工作,进入到CreateKubeAPIServer方法,在初始化go-restful的Container的方法内,可以看到

	handlerChainBuilder := func(handler http.Handler) http.Handler {
		return c.BuildHandlerChainFunc(handler, c.Config)
	}

handkerChainBuilder 方法就是对返回的DefaultHandlerChain方法的一种封装,并作为参数传入到NewAPIServerHandler方法内,并作为参数传入到NewAPIServerHandler方法内。进入NewAPIServerHandler方法,如下:

func NewAPIServerHandler(name string, s runtime.NegotiatedSerializer, handlerChainBuilder HandlerChainBuilderFn, notFoundHandler http.Handler) *APIServerHandler {
	nonGoRestfulMux := mux.NewPathRecorderMux(name)
	if notFoundHandler != nil {
		nonGoRestfulMux.NotFoundHandler(notFoundHandler)
	}

	gorestfulContainer := restful.NewContainer()
	gorestfulContainer.ServeMux = http.NewServeMux()
	gorestfulContainer.Router(restful.CurlyRouter{}) // e.g. for proxy/{kind}/{name}/{*}
	gorestfulContainer.RecoverHandler(func(panicReason interface{}, httpWriter http.ResponseWriter) {
		logStackOnRecover(s, panicReason, httpWriter)
	})
	gorestfulContainer.ServiceErrorHandler(func(serviceErr restful.ServiceError, request *restful.Request, response *restful.Response) {
		serviceErrorHandler(s, serviceErr, request, response)
	})

	director := director{
		name:               name,
		goRestfulContainer: gorestfulContainer,
		nonGoRestfulMux:    nonGoRestfulMux,
	}

	return &APIServerHandler{
		FullHandlerChain:   handlerChainBuilder(director),
		GoRestfulContainer: gorestfulContainer,
		NonGoRestfulMux:    nonGoRestfulMux,
		Director:           director,
	}
}

配置中通过将director作为参数传到handlerChainbuilder的回调方法内,完成对gorestfulContainer的handler的注册工作,其实director就是实现在http.Handler的变量,所以,整个的处理逻辑就是将类型为http.Handler的director作为参数,传递到链式filter的DefaultBuildHandlerChain方法内,通过DefaultBuildHandlerChain对每一个步骤的filter操作,权限控制等之类的操作,完成类似于filter的功能之后,后续就是启动工作,包括证书验证、TLS认证之类的工作,主要是看filter的DefaultBuildHandlerChain方法是如何处理接口的鉴权操作。

RBAC启动
kubernetes中比较重要的用的比较多的可能就是RBAC了,在DefaultBuildHandlerChain方法内,通过调用genericapifilters.withAuthorization方法,实现对每个接口的权限filter操作,WithAuthorization方法如下

func WithAuthorization(handler http.Handler, a authorizer.Authorizer, s runtime.NegotiatedSerializer) http.Handler {
	if a == nil {
		klog.Warningf("Authorization is disabled")
		return handler
	}
	return http.HandlerFunc(func(w http.ResponseWriter, req *http.Request) {
		ctx := req.Context()
		ae := request.AuditEventFrom(ctx)

		attributes, err := GetAuthorizerAttributes(ctx)
		if err != nil {
			responsewriters.InternalError(w, req, err)
			return
		}
		authorized, reason, err := a.Authorize(attributes)
		// an authorizer like RBAC could encounter evaluation errors and still allow the request, so authorizer decision is checked before error here.
		if authorized == authorizer.DecisionAllow {
			audit.LogAnnotation(ae, decisionAnnotationKey, decisionAllow)
			audit.LogAnnotation(ae, reasonAnnotationKey, reason)
			handler.ServeHTTP(w, req)
			return
		}
		if err != nil {
			audit.LogAnnotation(ae, reasonAnnotationKey, reasonError)
			responsewriters.InternalError(w, req, err)
			return
		}

		klog.V(4).Infof("Forbidden: %#v, Reason: %q", req.RequestURI, reason)
		audit.LogAnnotation(ae, decisionAnnotationKey, decisionForbid)
		audit.LogAnnotation(ae, reasonAnnotationKey, reason)
		responsewriters.Forbidden(ctx, attributes, w, req, reason, s)
	})
}

1.调用GetAuthorizerAttributes方法获取配置的各种属性值;
2.调用Authorize方法判断权限是否通过,不同的权限实现实现其接口,完成鉴权任务;
在这里插入图片描述
可以看到,就包含有RBAC单独的处理;
3,如果鉴权成功通过,则调用handler.ServeHTTP方法继续下一步的filter操作;否则,直接返回错误信息。
以RBAC为例,Authorize方法最终调用VisitRulesFor方法实现权限的判断,在方法kubernetes/pkg/registry/rbac/validation/rule.go文件内。VisitRulesFor主要代码如下

func (r *DefaultRuleResolver) VisitRulesFor(user user.Info, namespace string, visitor func(source fmt.Stringer, rule *rbacv1.PolicyRule, err error) bool) {
	if clusterRoleBindings, err := r.clusterRoleBindingLister.ListClusterRoleBindings(); err != nil {
		if !visitor(nil, nil, err) {
			return
		}
	} else {
		sourceDescriber := &clusterRoleBindingDescriber{}
		for _, clusterRoleBinding := range clusterRoleBindings {
			subjectIndex, applies := appliesTo(user, clusterRoleBinding.Subjects, "")
			if !applies {
				continue
			}
			rules, err := r.GetRoleReferenceRules(clusterRoleBinding.RoleRef, "")
			if err != nil {
				if !visitor(nil, nil, err) {
					return
				}
				continue
			}
			sourceDescriber.binding = clusterRoleBinding
			sourceDescriber.subject = &clusterRoleBinding.Subjects[subjectIndex]
			for i := range rules {
				if !visitor(sourceDescriber, &rules[i], nil) {
					return
				}
			}
		}
	}

	if len(namespace) > 0 {
		if roleBindings, err := r.roleBindingLister.ListRoleBindings(namespace); err != nil {
			if !visitor(nil, nil, err) {
				return
			}
		} else {
			sourceDescriber := &roleBindingDescriber{}
			for _, roleBinding := range roleBindings {
				subjectIndex, applies := appliesTo(user, roleBinding.Subjects, namespace)
				if !applies {
					continue
				}
				rules, err := r.GetRoleReferenceRules(roleBinding.RoleRef, namespace)
				if err != nil {
					if !visitor(nil, nil, err) {
						return
					}
					continue
				}
				sourceDescriber.binding = roleBinding
				sourceDescriber.subject = &roleBinding.Subjects[subjectIndex]
				for i := range rules {
					if !visitor(sourceDescriber, &rules[i], nil) {
						return
					}
				}
			}
		}
	}
}

主要工作就是对clusterRoleBinding以及roleBinding与配置的资源进行判断,比较清晰明了,这与我们使用的RBAC的思路基本一致。

宋小贝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云原生之Kubernetes:17.详解ApiserverRBAC
LQ的博客
09-01 342
详解ApiserverRBAC
kube-apiserver rbac鉴权源码分析
Qinng的博客
04-25 981
简介 kube-apiserver中与权限相关的主要有三种机制,即认证、鉴权和准入控制。上节讲到认证流程。 认证与授权很容易混淆: 认证(Authentication), 负责检查你是谁,识别user 授权(Authorization), 你能做什么,是否允许User对资源的操作 审计(Audit), 负责记录操作信息,方便后续审查 本文主要分析apiserverrbac授权流程。 认证流程...
17.ApiserverRBAC
LQ的博客
10-21 90
17.ApiserverRBAC 1.如何保证Kubernetes系统安全 如何保证Kubernetes系统安全,我们可以从以下三大部分进行学习、研究和设计: 1.Apiserver 首当其冲的就是apiserver,他是系统安全三板斧中的第一道关卡,其作用为: 谁能进入我们的kubernetes集群,这个谁可以是客户端用户、应用程序,也可以是集群中的node节点。 说到这里,你可能对后半句话有些疑虑。 防范外部的访问我是知道的,为什么还要防范集群内部的请求呢? 容我先来举个例子。 如果你了解、
k8s APIserver 安全机制之 rbac 授权
热门推荐
高飞的博客
11-11 25万+
k8s 认证、授权、准入控制机制
Kubernetes APIServer 限流策略
小楼一夜听春雨,深巷明朝卖杏花
07-26 1927
之前说过了,认证,鉴权,准入,这三个重要的环节。到此为止k8sapiserver就已经将请求继续往后传递了,作为rest服务器,它一定要有自我保护机制,这个自我保护的机制最核心的就是限流。作为web服务器,处理能力是有上限的,不能无休止的接受用户的请求,所以要做一个约定说这边能够接受多少请求。下面来看看限流有哪些传统的方法。............
kuber-s-game
03-07
公路冲浪的主要角色:一个运行故事情节的男孩:收集硬币,收集权力,远离障碍得分:取决于播放器在屏幕上的寿命所需图片:玩家硬币图像,力量图像,障碍物图像的动画
kuber-ez:Kuber-ez是一种基于Web的工具,用于以可视方式进行kubernetes清单清单和操作工具,只需要对Yaml和CLI有所了解
05-02
Kuber-ez Kuber-ez是一种基于Web的工具,用于以可视方式进行kubernetes清单清单和操作工具,只需要对Yaml和CLI有所了解 YouTube: 基本对象编辑: : Istio对象编辑: ://youtu.be/t0utOq4dosc 在线的: 或 快照...
PyPI 官网下载 | kuber-1.6.0.tar.gz
01-12
资源来自pypi官网。 资源全名:kuber-1.6.0.tar.gz
kuber-os-install:使用 kubernetes、coreos 和 openstack
07-12
在 Openstack 上运行的 CoreOS 上安装 Kubernetes 的注意事项 coreOS 镜像: ...extract coreos_production_openstack_image.img.bz2 glance image-create --name coreOS.444.5.0 --container-format bare --disk-...
PyPI 官网下载 | kuber-1.4.0-py2.py3-none-any.whl
02-07
资源来自pypi官网,解压后可用。 资源全名:kuber-1.4.0-py2.py3-none-any.whl
Kubernetes运维篇】RBAC认证授权详解(一)
最新发布
秦子腾
07-08 1万+
RBAC是一种基于角色访问控制方式,它将权限和角色相关联,用户加入到角色中,就会拥有角色中的权限,RBAC的核心思想是,将权限赋予给角色,角色中加入多个用户,加入进来的用户会具有角色的权限,如果修改权限也是针对角色进行操作,而不是针对每个用户进行权限操作,这样效率太低了。官方中文参考文档在K8S中准入控制器的模块有很多,其中比较常用的有LimitRanger、ResourceQuota、ServiceAccount,也是K8S默认启用的准入模块(具体看K8S版本),我们只需要定义对应的规则即可。
Kube-apiserver源码分析-Handler
u014152978的博客
06-21 593
1.启动入口 kube-apiserver启动入口在 cmd/kube-apiserver/app/server.go的Run()函数中: // Run runs the specified APIServer. This should never exit. func Run(completeOptions completedServerRunOptions, stopCh <-chan struct{}) error { // To help debugging, immedi.
Kubernetes 1.6新特性:RBAC授权
程序源234的专栏
04-15 1万+
概述 Kuberntes中API Server的访问控制过程图示如下: 在Kubernetes中,授权(authorization)是在认证(authentication)之后的一个步骤。授权就是决定一个用户(普通用户或ServiceAccount)是否有权请求Kubernetes API做某些事情。 之前,Kubernetes中的授权策略主要是ABAC(Attribut
Golang — RESTful框架 go-restful
李少侠
07-03 2618
go-restful 是一个 Golang 第三方库,是一个轻量的 RESTful API 框架,基于 Golang Build-in 的 http/net 库。适用于构建灵活多变的 Web Application,Kubernetes 的 ApiServer 也使用了 go-restful。
基于RBAC方式从Pod内访问API server
u013431916的博客
04-23 4503
关于Kubernetes中基于角色的访问控制(RBAC)的介绍可以参考文章:Kubernetes RBAC当在物理机上执行kubectl时,会自动根据~/.kube/config文件配置kubectl,其中包含一些权限信息,这样API server就可以根据权限信息决定是否执行来自kubectl的请求。然而在Pod内要想访问API server,更常用的方法是利用service account来验...
KubeSphere 后端源码深度解析
KubeSphere
01-20 1617
这篇文章我们将学习在 vscode 上的 ssh remote 插件基础上,尝试 debug 和学习 KubeSphere 后端模块架构。 前提 安装好 vscode 以及 ssh remote container 插件; 在远程主机上安装好 kubenertes 容器 " 操作系统 " 和 KubeSphere >= v3.1.0 云“控制面板”; 安装 go >=1.16; 在 KubeSphere 上安装了需要 debug 的 ks 组件,如 devops、kubee
Kafka源码分析之InFlightRequests
weixin_34301307的博客
04-11 273
InFlightRequests是对已经被发送或正在被发送但是均未接收到响应的客户端请求集合的一个封装,在它内部,有两个重要的变量,如下: // 每个连接最大执行中请求数 private final int maxInFlightRequestsPerConnection; // 节点node至客户端...
【数据结构篇】请求队列InFlightRequest
码上学习
07-21 3713
1.请求队列简单介绍: InFlightRequest是client的请求队列。max.in.flight.requests.per.connection配置请求队列大小,默认5,请求队列中存放的是在发送途中的请求,包括:正在发送的请求和已经发送的但还没有接收到response的请求;请求队列满了,发送消息将会发生阻塞。也就是发往同一个node的最大未响应请求数。 具体实现是: sender线程在...
设计模式之责任链模式(Chain)
千里之行,始于足下
10-18 379
设计模式之责任链模式(Chain) 本篇为 https://github.com/iluwatar/java-design-patterns/tree/master/chain 阅读笔记 意图 避免请求发送者与接收者耦合在一起,让多个对象都有可能接收请求,将这些对象连接成一条链,并且沿着这条链传递请求,直到有对象处理它为止。 优点 1、降低耦合度。它将请求的发送者和接收者解耦。 2、简化了...
国美金融贷款Kube-apiserver源码分析(国美金融贷款)
dongsijia的博客
06-22 242
国美金融贷款prepared.Run(stopCh)中调用的staging/src/k8s.io/apiserver/pkg/server/genericapiserver.go中的 func (s preparedGenericAPIServer) Run()函数,进而又调用func (s preparedGenericAPIServer) NonBlockingRun()函数。国美金融贷款这个函数里面使用preparedGenericAPIServer.Handler启动了http ser...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值