Kubernetes 的 RBAC 实践总结

在 Kubernetes 集群中，为了保证资源的安全性和可靠性，需要对各种资源进行访问控制。RBAC（Role-Based Access Control）是 Kubernetes 中的一种访问控制方式，它通过角色和角色绑定来定义用户或组的访问权限。

本文将介绍 RBAC 的基本概念、权限模型和实践经验，并包含示例代码和详细步骤。

RBAC 的基本概念

Kubernetes 中的 RBAC 主要由以下三个概念组成：

1. Role：角色是一个命名的权限集，可以在命名空间中定义。角色中包含了一组权限，用于限制用户的操作权限。

2. ClusterRole：集群角色是一个命名的权限集，可以在整个集群中使用。与角色不同的是，集群角色的资源对象是集群范围内的资源。

3. RoleBinding 和 ClusterRoleBinding：绑定是一个授权资源，可以将角色或集群角色中的权限授予特定的用户、组或服务帐户。

RBAC 的权限模型

在 Kubernetes 中，RBAC 的权限模型可以分为以下三层：

1. API 访问控制层：这一层的权限管理控制 API 对象的读写权限，例如 Pod、Deployment、Service、Namespace 等。

2. Non-resource URLs 访问控制层：这一层的权限管理控制了一些非资源 URL 的访问权限，例如 /healthz、/version 和 /logs 等。

3. Resource URLs 访问控制层：这一层的权限管理控制了访问资源 URL 的权限，例如 /api/v1/pods、/api/v1/services 和 /apis/apps/v1/deployments 等。

RBAC 的实践经验

在实践中，使用 RBAC 时需要遵循以下几个步骤：

1. 定义 Role 或者 ClusterRole：根据应用场景和需要，定义一个角色或集群角色，并设置相应的权限集。例如，一个 Web 应用需要创建 Pod 和 Service，那么可以为此定义一个访问权限为 create、get、list、watch、delete 的角色。

-- -------------------- ---- -------
----------- ----------------------------
----- ----
---------
  ----- ------------
  ---------- -------
------
- ---------- ---- ------------- -------
  ---------- -------- -----------
  ------ ---------- ------ ------- -------- ---------

1. 定义 RoleBinding 或者 ClusterRoleBinding：将角色或集群角色与用户、组或服务帐户进行绑定。例如，为 Web 应用的 Service 帐户分配上述定义的角色。

-- -------------------- ---- -------
----------- ----------------------------
----- -----------
---------
  ----- -------------------
  ---------- -------
---------
- ----- --------------
  ----- -----------------------
  ---------- -------
--------
  ----- ----
  ----- ------------
  --------- -------------------------

1. 测试和验证：测试绑定是否有效，并验证角色和权限是否正确。

$ kubectl auth can-i create pods --as system:serviceaccount:default:web-app-service-account
yes

以上是 RBAC 的基本流程和步骤，在使用 RBAC 时，还需要注意以下几点：

• 不要在默认命名空间（default）中使用 ClusterRole。
• 不要将 RoleBinding 或 ClusterRoleBinding 绑定到 Kubernetes 的内建 ServiceAccount 上。
• 定期检查绑定，确保角色和权限的正确性。

总结

在 Kubernetes 集群中，使用 RBAC 建立起安全性和可靠性的访问控制机制是非常重要的，它可以限制用户的访问权限，避免攻击和误操作。在本文中，我们介绍了 RBAC 的基本概念、权限模型和实践经验，并提供了示例代码和详细步骤，希望对使用 RBAC 进行安全防护和访问控制的工程师和开发者有所指导和启示。

来源：JavaScript中文网 ，转载请注明来源 https://www.javascriptcn.com/post/64541d21968c7c53b082bac0