Kubernetes - 实战：访问控制ServiceAccount、UserAccount、RBAC、服务账户的自动化

每个Namespace都有一个默认的ServiceAccount，如果没有明确指定，Pod将会使用默认的ServiceAccount。K8s会自动为每个ServiceAccount创建相应的Secret（通常是ServiceAccount Token），并在Pod启动时挂载到Pod的文件系统中。综上所述，通过合理的ServiceAccount创建、RBAC规则设置和自动化流程，可以有效地在Kube

用心去追梦

1000人浏览 · 2024-04-17 10:41:20

用心去追梦 · 2024-04-17 10:41:20 发布

在Kubernetes集群中，访问控制主要涉及到身份认证（Authentication）和授权（Authorization）。以下是关于ServiceAccount、UserAccount（实际上应该是kubeconfig中的用户）、RBAC（基于角色的访问控制）以及服务账户自动化的实战操作：

1. ServiceAccount

创建ServiceAccount：
```
kubectl create serviceaccount my-sa
```
ServiceAccount是Kubernetes中的内置身份类型，用于代表Pod内的进程与API Server进行交互。每个Namespace都有一个默认的ServiceAccount，如果没有明确指定，Pod将会使用默认的ServiceAccount。

将ServiceAccount与Pod绑定：
在Pod的YAML定义中指定ServiceAccount：

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  serviceAccountName: my-sa
  containers:
  - name: my-container
    image: my-image

授予ServiceAccount权限：
使用RBAC规则为ServiceAccount分配角色：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-sa-view-binding
  namespace: my-namespace
subjects:
- kind: ServiceAccount
  name: my-sa
  namespace: my-namespace
roleRef:
  kind: Role
  name: view
  apiGroup: rbac.authorization.k8s.io

2. 用户访问（UserAccount via kubeconfig）

创建用户：
Kubernetes本身并不直接创建用户账户，而是通过kubeconfig文件管理用户的凭证信息。你可以手动创建kubeconfig文件或使用kubectl命令行工具管理。

分配用户权限：
同样通过RBAC创建ClusterRoleBinding或RoleBinding，将用户与角色绑定：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: user-admin-binding
subjects:
- kind: User
  name: my-user  # 替换为实际用户的用户名
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

3. RBAC

创建角色（Role/ClusterRole）：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-reader
  namespace: my-namespace
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

创建角色绑定（RoleBinding/ClusterRoleBinding）：
如上面所示，将角色绑定到ServiceAccount或User。

4. 服务账户自动化

自动为Pod创建和关联ServiceAccount：
在Namespace层面，可以通过设置默认的ServiceAccount让新建的Pod自动关联它。
自动为ServiceAccount挂载Token Secrets：
K8s会自动为每个ServiceAccount创建相应的Secret（通常是ServiceAccount Token），并在Pod启动时挂载到Pod的文件系统中。Pod内的进程可以通过读取这个Secret来获得认证凭据，从而访问API Server。
自动化RBAC规则：
可以编写脚本或使用Kubernetes Operator自动化创建和更新RBAC规则，确保服务账户在创建后立即具备所需的权限。

综上所述，通过合理的ServiceAccount创建、RBAC规则设置和自动化流程，可以有效地在Kubernetes集群中实现细粒度的访问控制管理。

K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 | 韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号前言台湾作家林清玄在接受记者采访的时候，如此评价自己 30 多年写作生涯：“第一个十年我才华横溢，‘贼光闪现’，令周边黯然失色；第二个十年，我终于‘宝光现形’，不再去抢风头，反而与身边的美丽相得益彰；进入第三个十年，繁华落尽见真醇，我进入了‘醇光初现’的阶段，真正体味到了境界之美”。长夜有穷，真水无香。领略过了 K8s“身在江

K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台？

作者 | 孙健波（天元）导读：当前云原生 DevOps 体系现状如何？面临哪些挑战？如何通过 OAM 解决云原生 DevOps 场景下的诸多问题？云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答，并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps？为什么基于 Kub