一、RBAC概述 RBAC引入了四个新的顶级资源对象。Role、ClusterRole、RoleBinding、 ClusterRoleBinding。同其他 API 资源对象一样,用户可以使用 kubectl 或者 API 调用等 方式操作这些资源对象。kubernetes集群相关所有的交互都通过apiserver来完成,对于这样集中式管理的系统来说,从1.6版本起,K8S默认启用RBAC访问控制策略,目前RBAC已作为稳定的功能,通过启动文件kube-apiserver.service中的-authorization-mode=RBAC 来启用RABC. API Server目前支持以下几种授权策略: AlwaysDeny:表示拒绝所有请求,一般用于测试。 AlwaysAllow:允许接收所有请求。如果集群不需要授权流程,则可以采用该策略,这也是Kubernetes的默认配置。 ABAC(Attribute-Based Access Control):基于属性的访问控制。表示使用用户配置的授权规则对用户请求进行匹配和控制。 Webhook:通过调用外部REST服务对用户进行授权。 RBAC:Role-Based Access Control,基于角色的访问控制(本章讲解)。 Node:是一种专用模式,用于对kubelet发出的请求进行访问控制。
二、用户分类 K8s的用户分两种,一种是普通用户,一种是ServiceAccount(服务账户)。 1、普通用户 普通用户是假定被外部或独立服务管理的。管理员分配私钥。平时常用的kubectl命令都是普通用户执行的。 如果是用户需求权限,则将Role与User(或Group)绑定(这需要创建User/Group),是给用户使用的。 2、ServiceAccount(服务账户) ServiceAccount(服务帐户)是由KubernetesAPI管理的用户。它们绑定到特定的命名空间,并由API服务器自动创建或通过API调用手动创建。 服务帐户与存储为Secrets的一组证书相关联,这些凭据被挂载到pod中,以便集群进程与Kubernetes API通信。(登录dashboard时我们使用的就是ServiceAccount) 如果是程序需求权限,将Role与ServiceAccount指定(这需要创建ServiceAccount并且在deployment中指定ServiceAccount),是给程序使用的。
三、K8s角色&角色绑定 1.授权介绍 在RABC API中,通过如下的步骤进行授权: 创建主体:创建用户 定义角色:在定义角色时会指定此角色对于资源的访问控制的规则。 绑定角色:将主体与角色进行绑定,对用户进行访问授权。 主体(subject) User:用户 Group:用户组 ServiceAccount:服务账号 角色(一组权限的集合) Role:授权特定命名空间的访问权限 ClusterRole:授权所有命名空间(集群范围内)的访问权限 角色绑定 RoleBinding:将角色绑定到主体(即subject) ClusterRoleBinding:将集群角色绑定到主体 2.角色相关参数(资源和权限) 1、Role和ClsuterRole的Verbs可配置参数(资源) get、 list、watch、create、 update、 patch、 delete、 exec、proxy、redirect、 deletecollection 2、Role和ClsuterRole的Resource可配置参数(权限) services、 endpoints、pods、secrets、configmaps、crontabs、deployments、jobs、nodes、rolebindings、clusterroles、 daemonsets、replicasets、statefulsets、horizontalpodautoscalers、replicationcontrollers、cronjobs 3、Role和ClsuterRole的APIGroup可配置参数(kubectl api-resources ) apps、 autoscaling、 batch 主体说明 Kubernetes 有着以下几个内建的用于特殊目的的组: system:unauthenticated :未能通过任何一个授权插件检验的账号,即未通过认证测 试的用户所属的组 。 system :authenticated :认证成功后的用户自动加入的一个组,用于快捷引用所有正常通过认证的用户账号。 system : serviceaccounts :当前系统上的所有 Service Account 对象。 system :serviceaccounts :<namespace>:特定命名空间内所有的 Service Account 对象。 1.名称为 “alice@example.com”用户: subjects: - kind: User name: "alice@example.com" apiGroup: rbac.authorization.k8s.io 2.名称为“frontend-admins”的组: subjects: - kind: Group name: "frontend-admins" apiGroup: rbac.authorization.k8s.io 3.在kube-system命名空间中,名称为“default”的服务帐户: subjects: - kind: ServiceAccount name: default namespace: kube-system 4.在“qa”命名空间中,所有的服务帐户: subjects: - kind: Group name:system: serviceaccounts:qa apiGroup: rbac.authorization.k8s.io 5.所有的服务帐户: subjects: - kind: Group name: system:serviceaccounts apiGroup: rbac.authorization.k8s.io 6.所有被认证的用户 (version 1.5+): subjects: - kind: Group name:system: authenticated apiGroup: rbac.authorization.k8s.io
实例1:基于Role 1.1:在指定namespace创建账户: [root@localhost7C role]# kubectl create serviceaccount laomao -n linux39 1.2:角色:创建role规则: [root@localhost7C role]# cat linux39-role.yml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: linux39 name: linux39-role #角色名 rules: - apiGroups: ["*"] resources: ["pods"] #资源 #verbs: ["*"] #权限 ##RO-Role verbs: ["get", "watch", "list"] - apiGroups: ["extensions", "apps"] #允许读/写在 “extensions” 和 “apps” API 组中的 “deployments” 资源: resources: ["deployments"] #verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] ##RO-Role verbs: ["get", "watch", "list"] 1.3:角色绑定,将规则与账户进行绑定: [root@localhost7C role]# cat linux39-bind.yml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: role-bind-linux39 namespace: linux39 subjects: #主体 - kind: ServiceAccount #主体类型 name: laomao #调用主体名 namespace: linux39 roleRef: #角色 kind: Role #角色类型 name: linux39-role #调用角色名 apiGroup: rbac.authorization.k8s.io 1.4 查看 [root@localhost7C role]# kubectl apply -f ./ [root@localhost7C role]# kubectl get role -n linux39 [root@localhost7C role]# kubectl describe role -n linux39 [root@localhost7C role]# kubectl get RoleBinding -n linux39 [root@localhost7C role]# kubectl describe RoleBinding -n linux39 1.5:登录dashboard测试(手动输入namespace) [root@localhost7C role]# kubectl describe secrets -n linux39 laomao-token-cjxnh https://192.168.80.160:30002/#/pod?namespace=linux39
实例2: 基于ClusterRole [root@localhost7C ClsuterRole]# cat ClsuterRole.yml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: pod-clusterrole rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] [root@localhost7C ClsuterRole]# cat ClsuterRole-Binding.yml kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: crb subjects: - kind: ServiceAccount name: mark namespace: default roleRef: kind: ClusterRole name: pod-clusterrole apiGroup: rbac.authorization.k8s.io --- #创建用户 apiVersion: v1 kind: ServiceAccount metadata: name: mark namespace: default
实战3: 1.基于Role角色创建用户和绑定角色 2.创建用户的dashboard的登录配置文件,而不是使用token登录。 1.1:在指定namespace创建账户: # kubectl create serviceaccount laomao -n linux39 1.2:创建role规则: # cat linux39-role.yml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: linux39 name: linux39-role rules: - apiGroups: ["*"] resources: ["pods"] #verbs: ["*"] ##RO-Role verbs: ["get", "watch", "list"] - apiGroups: ["extensions", "apps"] resources: ["deployments"] #verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] ##RO-Role verbs: ["get", "watch", "list"] 1.3:将规则与账户进行绑定: # cat linux39-bind.yml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: role-bind-linux39 namespace: linux39 subjects: - kind: ServiceAccount name: laomao namespace: linux39 roleRef: kind: Role name: linux39-role apiGroup: rbac.authorization.k8s.io 1.4:获取token名称: # kubectl get secret -n linux39 | grep laomao laomao-token-cd4b9 kubernetes.io/service-account-token 3 5m37s 1.5:使用base加密: (等同= kubectl describe secrets -n linux39 laomao-token-cd4b9) # kubectl get secret laomao-token-cd4b9 -o jsonpath={.data.token} -n linux39 |base64 -d eyJhbGciOiJSUzI1NiIsImtpZCI6IkR5eEg0ckg0VFlTYkdEcUtTUzFad3R6OEJzOVJHdFRsZ0tGTGVUUFJiTncifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJsaW51eDM5Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6Imxhb21hby10b2tlbi1jZDRiOSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJsYW9tYW8iLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJhNTQyZTlkYy1mMDYyLTQwNmMtOWUwZi05NzA5MjQ2MWNlOTYiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6bGludXgzOTpsYW9tYW8ifQ.BK9bv8gqDxeN_ilJiDBm3COf7t2ybE0QM1M56JnGmEnzRRMJCs6uzCds9b9bB-XgVvJwqNi6W8vOj6r2iW4rMdqS9pbJrWOSl9mR756wlMSbLdAUsgHB_ywzy0L20ew13590mor_BPAvTOF5We-_2MwswNgQtUaEU6Yixpg-73Cq1UyZaCILi0h_oLqusEFwxkkunI4dmsUF3QkJ96d_TOerizizWwR716tUm_jGb05izobUjghoL526ngIdzYtND-QQM4_039vzC9WW-yobeNypM-BQADqfvD4g6g_tKiXe61SuegOyobQYQ7jom-dcqVbOU5uVDK_oHg6frHYaLQ 1.6:登录dashboard测试: 二:基于kube-config文件登录dashboard: 2.1:创建csr文件: # cat laomao-csr.json { "CN": "jack", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] } 2.2:签发证书: # cfssl gencert -ca=/etc/kubernetes/ssl/ca.pem -ca-key=/etc/kubernetes/ssl/ca-key.pem -config=/etc/kubernetes/ssl/ca-config.json -profile=kubernetes laomao-csr.json | cfssljson -bare laomao # ls laomao* laomao.csr laomao-csr.json laomao-key.pem laomao.pem 2.3:生成普通用户kubeconfig文件:cluster1群集名(kubectl config get-clusters) --server是VIP地址(可以使用本master地址)。参考cat /root/.kube/config # kubectl config set-cluster cluster1 --certificate-authority=/etc/kubernetes/ssl/ca.pem --embed-certs=true --server=https://192.168.80.120:6443 --kubeconfig=laomao.kubeconfig 查看config cat laomao.kubeconfig 2.4:设置客户端认证参数: # cp *.pem /etc/kubernetes/ssl/ # kubectl config set-credentials laomao \ --client-certificate=/etc/kubernetes/ssl/laomao.pem \ --client-key=/etc/kubernetes/ssl/laomao-key.pem \ --embed-certs=true \ --kubeconfig=laomao.kubeconfig 2.5:设置上下文参数 kubectl config set-context cluster1 \ --cluster=cluster1 \ --user=laomao \ --namespace=linux39 \ --kubeconfig=laomao.kubeconfig 2.5: 设置默认上下文 kubectl config use-context cluster1 --kubeconfig=laomao.kubeconfig 2.7:获取token: # kubectl describe secrets laomao-token-cd4b9 -n linux39 Name: laomao-token-cd4b9 Namespace: linux39 Labels: <none> Annotations: kubernetes.io/service-account.name: laomao kubernetes.io/service-account.uid: a542e9dc-f062-406c-9e0f-97092461ce96 Type: kubernetes.io/service-account-token Data ==== ca.crt: 1350 bytes namespace: 7 bytes token: eyJhbGciOiJSUzI1NiIsImtpZCI6IkR5eEg0ckg0VFlTYkdEcUtTUzFad3R6OEJzOVJHdFRsZ0tGTGVUUFJiTncifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJsaW51eDM5Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6Imxhb21hby10b2tlbi1jZDRiOSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50Lm5hbWUiOiJsYW9tYW8iLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC51aWQiOiJhNTQyZTlkYy1mMDYyLTQwNmMtOWUwZi05NzA5MjQ2MWNlOTYiLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6bGludXgzOTpsYW9tYW8ifQ.BK9bv8gqDxeN_ilJiDBm3COf7t2ybE0QM1M56JnGmEnzRRMJCs6uzCds9b9bB-XgVvJwqNi6W8vOj6r2iW4rMdqS9pbJrWOSl9mR756wlMSbLdAUsgHB_ywzy0L20ew13590mor_BPAvTOF5We-_2MwswNgQtUaEU6Yixpg-73Cq1UyZaCILi0h_oLqusEFwxkkunI4dmsUF3QkJ96d_TOerizizWwR716tUm_jGb05izobUjghoL526ngIdzYtND-QQM4_039vzC9WW-yobeNypM-BQADqfvD4g6g_tKiXe61SuegOyobQYQ7jom-dcqVbOU5uVDK_oHg6frHYaLQ 2.8:将token写入用户kube-config文件(注意格式): 2.9:dashboard登录测试: https://172.31.7.201:30002/#/pod?namespace=linux39
实战4:基于角色访问控制(RBAC)子系统会确定用户是否有权针对 某资源执行特定的操作。 普通用户并不是通过k8s来创建和维护,是通过创建证书和切换上下文环境的方式来创建和切换用户。 尽管无法通过 API 调用来添加给kubernetes增加普通用户,Kubernetes 仍然认为能够提供由集群的证书 机构签名的合法证书的用户是通过身份认证的用户。 基于这样的配置,Kubernetes 使用证书中的 ‘subject’ 的通用名称(Common Name)字段(例如,"/CN=devuser")来 确定用户名, Kubernetes使用证书中的 ‘subject’ 的单位名称 (Organization Name) 字段(例如,"/O=system:masters")来确定用户组。 说明 --embed-certs=true的作用是不在配置文件中显示证书信息。 --kubeconfig=/root/jenkins.conf 用于创建新的配置文件,如果不加此选项,则内容会"追加"到当前用户家目录下.kube/config文件中。(温馨提示,保存老的~/kube/config) 可以使用use-context来切换不同的用户管理k8s集群。可以不加context简单的理解就是用什么用户来管理哪个集群,即用户和集群的结合。 1、创建证书 创建K8S用户 #创建私钥 $(umask 077;openssl genrsa -out zzhz.key 2048) #用此私钥创建一个csr(证书签名请求)文件 $openssl req -new -key zzhz.key -subj "/CN=zzhz" -out zzhz.csr #拿着私钥和请求文件生成证书 $openssl x509 -req -in zzhz.csr -CA /etc/kubernetes/ssl/ca.pem -CAkey /etc/kubernetes/ssl/ca-key.pem -CAcreateserial -out zzhz.crt -days 365 2.集群配置 生成普通用户kubeconfig文件:cluster1群集名(kubectl config get-clusters) --server是VIP地址(可以使用本master地址)。参考cat /root/.kube/config 当--kubeconfig=zzhz.kubeconfig不指定,并且/root/.kube/config已存在,此步可以不用操作。 kubectl config set-cluster cluster1 --certificate-authority=/etc/kubernetes/ssl/ca.pem --embed-certs=true --server=https://192.168.80.120:6443 --kubeconfig=zzhz.kubeconfig #生成账号和设置客户端认证参数:用户配置 $kubectl config set-credentials zzhz --client-certificate=./zzhz.crt --client-key=./zzhz.key --embed-certs=true --kubeconfig=zzhz.kubeconfig 3、设置上下文参数, 创建context #设置上下文, 默认会保存在 $HOME/.kube/config $ kubectl config set-context zzhz@cluster1 --cluster=cluster1 --user=zzhz --namespace=linux39 --kubeconfig=zzhz.kubeconfig #查看 $ kubectl config get-contexts --kubeconfig=zzhz.kubeconfig CURRENT NAME CLUSTER AUTHINFO NAMESPACE * cluster1 cluster1 admin zzhz@cluster1 cluster1 zzhz linux39 #切换context $ kubectl config use-context zzhz@cluster1 --kubeconfig=./zzhz.kubeconfig #测试 发现使用我们创建的用户查询是失败的,是因为账号还没授权,接下来就是对账号进行授权。这里需要先把用切回来,要不然就无法进行下一步授权了。 $ kubectl get nodes --kubeconfig=./zzhz.kubeconfig Error from server (Forbidden): nodes is forbidden: User "zzhz" cannot list resource "nodes" in API group "" at the cluster scope 切回管理员用户 kubectl config use-context cluster1 5、对用户授权 上述操作完成后,用户还没有具体的访问权限,创建Role和RoleBinding,为该用户授权,只有linux39名称空间的相关权限 cat /role-pod-reader.yaml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: linux39 name: pods-reader rules: - apiGroups: [""] resources: ["pods","services","pods/*"] verbs: ["get","watch","list","create"] 绑定角色 cat role-binding-zzhz.yaml kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: zzhz namespace: linux39 subjects: - kind: User name: zzhz apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pods-reader apiGroup: rbac.authorization.k8s.io 6、验证 切回管理员用户 kubectl config use-context zzhz@cluster1 --kubeconfig=./zzhz.kubeconfig kubectl get pods -n linux39 [root@localhost7C zzhz]# kubectl get pods -n zzhz --kubeconfig=./zzhz.kubeconfig zzhz.crt zzhz.csr zzhz.key zzhz-rolebinding.yaml zzhz-role.yaml [root@localhost7C zzhz]# kubectl get pods -n default --kubeconfig=./zzhz.kubeconfig Error from server (Forbidden): pods is forbidden: User "zzhz" cannot list resource "pods" in API group "" in the namespace "default"
Group因为跟user类型,这里就不过多文字介绍,直接上命令和配置 # 创建私钥 $ openssl genrsa -out devgroupuser.key 2048 # 用此私钥创建一个csr(证书签名请求)文件 $ openssl req -new -key devgroupuser.key -subj "/O=devgroup/CN=devgroupuser" -out devgroupuser.csr # 拿着私钥和请求文件生成证书 $ openssl x509 -req -in devgroupuser.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out devgroupuser.crt -days 365 # 生成账号 $ kubectl config set-credentials devgroupuser --client-certificate=./devgroupuser.crt --client-key=./devgroupuser.key --embed-certs=true # 设置上下文参数 $ kubectl config set-context devgroupuser@kubernetes --cluster=kubernetes --user=devgroupuser --namespace=dev # 查看 $ kubectl config get-contexts $ cat >devgroup-role-bind.yaml<<EOF kind: Role # 角色 apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: dev name: devgroup-role rules: - apiGroups: [""] # ""代表核心api组 resources: ["services","pods"] verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] --- kind: RoleBinding # 角色绑定 apiVersion: rbac.authorization.k8s.io/v1 metadata: name: devgroup-rolebinding namespace: dev subjects: - kind: Group name: devgroup # 目标用户组 apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: devgroup-role # 角色信息 apiGroup: rbac.authorization.k8s.io EOF 执行并验证(命名空间默认dev,而不是系统的default) $ kubectl apply -f devgroup-role-bind.yaml #切用户 $ kubectl config use-context devgroupuser@kubernetes # 查看 $ kubectl config get-contexts $ kubectl get pods $ kubectl get svc $ kubectl get nodes $ kubectl get jobs 参考文档 https://blog.csdn.net/qq_35745940/article/details/120693490