k8s 十二之kubernetes访问控制
访问控制介绍认证serviceaccount(sa)UserAccount授权Role与RoleBindingClusterRole与RoleBindingClusterRole与ClusterRoleBinding补充
·
文章目录
访问控制介绍
- Authentication(认证):
(1)认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。
(2)Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。 - Authorization(授权): 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。
- Admission Control(准入控制): 用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。
- 访问k8s的API Server的客户端主要分为两类:
(1)kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
(2)pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多。 - kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作。
kubectl proxy --port=8888 &
curl http://localhost:8888/api/v1/namespaces/default
curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments
以上两种api的区别是:
(1)api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
(2)apis它是一般API访问的入口固定格式名
- UserAccount与serviceaccount
(1)用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
(2)用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
(3)通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。 - 服务账户的自动化:
1.服务账户准入控制器(Service account admission controller)
(1)如果该 pod 没有 ServiceAccount 设置,将其 ServiceAccount 设为 default。
(2)保证 pod 所关联的 ServiceAccount 存在,否则拒绝该 pod。
(3)如果 pod 不包含 ImagePullSecrets 设置,那么 将 ServiceAccount 中的 ImagePullSecrets 信息添加到 pod 中。
(4)将一个包含用于 API 访问的 token 的 volume 添加到 pod 中。
(5)将挂载于 /var/run/secrets/ kubernetes.io/ serviceaccount 的 volumeSource 添加到 pod 下的每个容器中。
2.Token 控制器(Token controller)
(1)检测服务账户的创建,并且创建相应的 Secret 以支持 API 访问。
(2)检测服务账户的删除,并且删除所有相应的服务账户 Token Secret。
(3)检测 Secret 的增加,保证相应的服务账户存在,如有需要,为 Secret 增加 token。
(4)检测 Secret 的删除,如有需要,从相应的服务账户中移除引用。
3.服务账户控制器(Service account controller)
(1)服务账户管理器管理各命名空间下的服务账户,并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户。 - Kubernetes 还拥有“用户组”(Group)的概念:
(1)ServiceAccount对应内置用户的名字是: system:serviceaccount:<ServiceAccount名字 >
(2)用户组所对应的内置名字是:system:serviceaccounts:<Namespace名字 >
举例如下:
示例1:表示mynamespace中的所有ServiceAccount
subjects:
- kind: Group
name: system:serviceaccounts:mynamespace
apiGroup: rbac.authorization.k8s.io
示例2:表示整个系统中的所有ServiceAccount
subjects:
- kind: Group
name: system:serviceaccounts
apiGroup: rbac.authorization.k8s.io
认证
serviceaccount(sa)
1.创建sa
kubectl get sa
kubectl create serviceaccount admin
2.查看sa
kubectl describe sa admin
kubectl get sa
3.将secrets添加到serviceaccount中
kubectl get secrets
kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
4.再次查看sa
kubectl describe sa admin
5.编写文件
vim pod3.yaml
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mario
image: www.lyueyue.org/library/mario
serviceAccountName: admin
6.运行文件
kubectl apply -f pod3.yaml
7.查看pod
kubectl get pod
kubectl describe pod mypod
注意:由于虚拟机目前只能开三个,我这里server1既是harbor主机又是k8s的master节点,所以它的default sa就可以拉取镜像(问题终于解决了害,卡在这里整整两天)无法看到实验效果,如果是在不同的主机上,我们可以发现只有加上admin sa才能拉取镜像。
UserAccount
1.生成rsa私钥文件
cd /etc/kubernetes/pki
openssl genrsa -out test.key 2048
2.生成证书请求文件(指定CN)
openssl req -new -key test.key -out test.csr -subj "/CN=test"
3.生成证书
openssl x509 -req -in test.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out test.crt -days 365
4.查看证书
openssl x509 -in test.crt -text -noout
5.设置kubeconfig的users
kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true
6.查看更改情况
kubectl config view
7.再次设置
kubectl config set-context test@kubernetes --cluster=kubernetes --user=test
8.重新查看
kubectl config view
发现使用的还是admin账户
重新查看发现更改过来了,而且现在有两个context。
授权
RBAC(Role Based Access Control):基于角色访问控制授权
- 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联。
- RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可。
- RBAC包括四种类型:Role、ClusterRole、RoleBinding、ClusterRoleBinding。
RBAC的三个基本概念:
- Subject:被作用者,它表示k8s中的三类主体, user, group, serviceAccount
- Role:角色,它其实是一组规则,定义了一组对 Kubernetes API 对象的操作权限。
- RoleBinding:定义了“被作用者”和“角色”的绑定关系
Role 和 ClusterRole
- Role 是一系列的权限的集合,Role 只能授予单个namespace 中资源的访问权限。
- ClusterRole 跟 Role 类似,但是可以在集群中全局使用。
Role与RoleBinding
之前的账户没有授权
1.先切到admin用户
kubectl config use-context kubernetes-admin@kubernetes
2.创建目录
mkdir rbac
cd rbac
3.编写文件
vim role.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: default
name: myrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]
4.运行文件
kubectl apply -f role.yaml
5.查看role
kubectl get role
6.将角色和用户绑定
vim role.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: default
name: myrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: test-read-pods
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: myrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test
7.运行文件
kubectl apply -f role.yaml
8.查看绑定情况
kubectl get rolebindings.rbac.authorization.k8s.io
9.切到test用户
kubectl config use-context test@kubernetes
10.查看pod及sc
kubectl get pod
kubectl get sc
kubectl get pod -n kube-system
虽然成功建立账户,但还没有授权。
授权,将角色和用户绑定起来。注意将用户切回admin,这里只给操作pod的权限。
现在开始绑定,将myrole这个角色赋给test用户。
发现使用test账户可以get pod了,但是无法get sc,也不能对别的namespace进行get pod操作。
ClusterRole与RoleBinding
1.先切到admin用户
kubectl config use-context kubernetes-admin@kubernetes
2.编写文件
vim role.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: default
name: myrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: test-read-pods
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: myrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: myclusterrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
resources: ["deployments"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: rolebind-myclusterrole
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test
3.运行文件
kubectl apply -f role.yaml
4.查看绑定情况
kubectl get rolebindings.rbac.authorization.k8s.io
5.切到test用户
kubectl config use-context test@kubernetes
6.查看
kubectl get pod
kubectl get deployments.apps
kubectl get sa
首先使用rolebinding绑定clusterrole
注意在修改role文件时先切回admin用户
发现此时test用户可以get pod和deployment。
ClusterRole与ClusterRoleBinding
1.先切到admin用户
kubectl config use-context kubernetes-admin@kubernetes
2.编写文件
vim role.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: default
name: myrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: test-read-pods
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: myrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: myclusterrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
resources: ["deployments"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: clusterrolebinding-myclusterrole
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test
3.运行文件
kubectl apply -f role.yaml
4.切到test用户
kubectl config use-context test@kubernetes
5.查看
kubectl get pod -n kube-system
clusterrolebinding不需要指定namespace
发现可以get pod 可以访问各个namespace
补充
Kubernetes 还提供了四个预先定义好的 ClusterRole 来供用户直接使用
- cluster-amdin
- admin
- edit
- view
1.先切到admin用户
kubectl config use-context kubernetes-admin@kubernetes
2.查看clusterrole
kubectl get clusterrole
3.查看四个预先定义好的 ClusterRole
kubectl describe clusterrole cluster-admin
kubectl describe clusterrole admin
查看clusterrole
查看四个预先定义好的ClusterRole:cluster-amdin、admin、edit、view
K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容
更多推荐
0
0- 0
已为社区贡献8条内容
所有评论(0)