Kubernetes訪問(wèn)控制之鑒權(quán)方法詳解

更新時(shí)間：2023年09月12日 11:40:00 作者：宏勢(shì)

這篇文章主要為大家介紹了Kubernetes訪問(wèn)控制之鑒權(quán)方法詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪

RBAC鑒權(quán)

鑒權(quán)是確定請(qǐng)求方有哪些資源的權(quán)限，API Server目前支持RBAC鑒權(quán)、Node鑒權(quán)、ABAC鑒權(quán) 和 Webhook模式

基于角色（Role）的訪問(wèn)控制（RBAC）是一種基于組織中用戶的角色來(lái)調(diào)節(jié)控制對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的訪問(wèn)的方法。

要啟用 RBAC，在啟動(dòng) API 服務(wù)器時(shí)將 --authorization-mode 參數(shù)設(shè)置為一個(gè)逗號(hào)分隔的列表并確保其中包含 RBAC

API對(duì)象

RBAC API 聲明了四種 Kubernetes 對(duì)象：Role、ClusterRole、RoleBinding 和 ClusterRoleBinding

Role 或 ClusterRole 中包含一組代表相關(guān)權(quán)限的規(guī)則。這些權(quán)限是純粹累加的（不存在拒絕某操作的規(guī)則）

Role 定義命名空間內(nèi)權(quán)限，ClusterRole是定義跨命名空間的權(quán)限

Role定義例子如下：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default      ##如果kind是ClusterRole，無(wú)須指定，代表集群級(jí)別
  name: pod-reader
rules:
- apiGroups: [""]             #"" indicates the core API group 具體參考kubectl api-resources
  resources: ["pods"]         # 資源names, 子資源例子：["pods/log"]
  verbs: ["get", "watch", "list"]  #允許動(dòng)作

如果是Role，代表能訪問(wèn)default空間下的所有Pod，如果是ClusterRolo代表能訪問(wèn)所有空間下的Pod

-指定固定某個(gè)資源名稱

rules:
- apiGroups: [""]
  # 在 HTTP 層面，用來(lái)訪問(wèn) ConfigMap 資源的名稱為 "configmaps"
  resources: ["configmaps"]
  resourceNames: ["my-configmap"]
  verbs: ["update", "get"]

-指定非資源端點(diǎn)

rules:
- nonResourceURLs: ["/healthz", "/healthz/*"] # nonResourceURL 中的 '*' 是一個(gè)全局通配符
  verbs: ["get", "post"]

RoleBinding 將Role定義的權(quán)限授予用戶/用戶組/服務(wù)賬號(hào) （統(tǒng)稱主體subject）

ClusterRoleBinding 只能將ClusterRole定義的權(quán)限授予用戶/用戶組/服務(wù)賬號(hào)（統(tǒng)稱主體subject）
將pod-reader角色授予普通用戶myuser

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User       #支持User，Group，ServiceAccount 三種類型
  name: myuser
  apiGroup: rbac.authorization.k8s.io
roleRef:
   kind: Role
   name: pod-reader
   apiGroup: rbac.authorization.k8s.io

一個(gè) RoleBinding 也可以引用某 ClusterRole 并將該 ClusterRole 綁定到 RoleBinding 所在的名字空間

聚合的ClusterRole

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: monitoring
aggregationRule:
  clusterRoleSelectors:
  - matchLabels:
      rbac.example.com/aggregate-to-monitoring: "true"
rules: [] # 控制面自動(dòng)填充這里的規(guī)則

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: monitoring-endpoints
  labels:
    rbac.example.com/aggregate-to-monitoring: "true"
# 當(dāng)你創(chuàng)建 "monitoring-endpoints" ClusterRole 時(shí)，
# 下面的規(guī)則會(huì)被添加到 "monitoring" ClusterRole 中
rules:
- apiGroups: [""]
  resources: ["services", "endpointslices", "pods"]
  verbs: ["get", "list", "watch"]

名稱	類型	說(shuō)明
default	ServiceAccount	每個(gè)命名空間自帶
system:anonymous	User	匿名用戶
system:serviceaccounts	Group	任務(wù)名字空間的服務(wù)賬號(hào)都屬于這個(gè)組
system:serviceaccounts:空間名字	Group	該名字空間下的服務(wù)賬號(hào)都屬于這個(gè)組
system:authenticated	Group	所有通過(guò)身份認(rèn)證的用戶都屬于這個(gè)組
system:unauthenticated	Group	所有未通過(guò)身份認(rèn)證的用戶都屬于這個(gè)組
system:masters	Group	超級(jí)管理員cluster-admin所屬的組

默認(rèn)ClusterRole	對(duì)應(yīng)默認(rèn)ClusterRoleBinding	說(shuō)明
cluster-admin	cluster-admin，綁定system:master組	超級(jí)管理員角色
admin	無(wú)	大多數(shù)對(duì)象進(jìn)行讀/寫(xiě)操作包括角色和角色綁定
edit	無(wú)	大多數(shù)對(duì)象進(jìn)行讀/寫(xiě)操作角色
view	無(wú)	只有訪問(wèn)權(quán)限角色
system:discovery	system:discovery,綁定組 system:authenticated	允許以只讀方式訪問(wèn) API 發(fā)現(xiàn)端點(diǎn)

Node鑒權(quán)

節(jié)點(diǎn)鑒權(quán)是一種特殊用途的鑒權(quán)模式，專門(mén)對(duì) kubelet 發(fā)出的 API 請(qǐng)求進(jìn)行授權(quán),通過(guò)--authorization-mode=Node 啟動(dòng)API服務(wù)器開(kāi)啟

為了獲得節(jié)點(diǎn)鑒權(quán)器的授權(quán)，kubelet 必須使用一個(gè)憑證以表示它在 system:nodes 組中，用戶名為 system:node:<nodeName>

ABAC鑒權(quán)

基于屬性的訪問(wèn)控制（Attribute-based access control - ABAC）定義了訪問(wèn)控制范例，其中通過(guò)使用將屬性組合在一起的策略來(lái)向用戶授予訪問(wèn)權(quán)限

指定策略文件 --authorization-policy-file=SOME_FILENAME

文件內(nèi)容格式JSON lines，例如：

Alice 可以對(duì)所有資源做任何事情

{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "alice", "namespace": "*", "resource": "*", "apiGroup": "*"}}

kubelet 可以讀取任何 pod

{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "kubelet", "namespace": "*", "resource": "pods", "readonly": true}}

一般都是使用RBAC + Node鑒權(quán)

以上就是Kubernetes訪問(wèn)控制之鑒權(quán)的詳細(xì)內(nèi)容，更多關(guān)于Kubernetes訪問(wèn)控制鑒權(quán)的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: