RBAC,即 Role-Based Access Control,基于角色的访问控制,在 Kubernetes 中被广泛地使用。Kubernetes 的 RBAC 实现基于 API 声明式配置,可实现 fine-grained 的访问控制。本文将深入探讨 Kubernetes 的 RBAC 实现原理,并通过示例代码展现其学习和指导意义。
Kubernetes 的 RBAC 实现
Kubernetes 的 RBAC 实现主要由以下几个组件构成:
- Role:角色是一个命名的资源,其中定义了一组规则,用于在一组 namespaces 中控制资源的访问。
- ClusterRole:类似 Role,但是在整个集群中生效。
- RoleBinding:将一组 User 或 Group 与 Role 绑定在一起,从而赋予它们被 Role 中定义的权限。
- ClusterRoleBinding:类似 RoleBinding,但是绑定的是 ClusterRole。
这些组件通过 API 来进行配置和查询。RBAC 的配置格式是 YAML,示例代码如下所示:
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: pod-reader namespace: default rules: - apiGroups: [""] # "" 表示 core API Group resources: ["pods"] verbs: ["get", "watch", "list"]
在这个示例中,定义了一个名字为 pod-reader 的 Role,在 default namespace 中的 pods 资源上具有 get、watch 和 list 的权限。
RoleBinding 和 ClusterRoleBinding 的配置类似,示例代码如下所示:
apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: default subjects: - kind: User name: jane roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io
在这个示例中,定义了一个名字为 read-pods 的 RoleBinding,将 User jane 和 Role pod-reader 绑定在一起,在 default namespace 中的 pods 资源上具有 get、watch 和 list 的权限。
Kubernetes 的 RBAC 验证流程
Kubernetes 的 RBAC 验证流程主要包含以下几个步骤:
Authenticator:验证请求是否合法,包含对证书、Token、用户名和密码等的验证。
Authorizer:检查请求是否具有访问资源的权限。如果是调用 API Server 内置的 RBAC 插件,如果不是则调用外部的 Authorization Webhook。
Admission Control:进行更严格的访问控制和资源验证,包含对请求的 Namespace、ResourceQuota、LimitRange、PodSecurityPolicy 等的验证。
其中,Authenticator 和 Admission Control 略过不谈,我们重点关注 Authorizer 的实现。
Kubernetes 的 Authorizer 主要分为两种,一种是内置插件,一种是外部 Authorization Webhook。内置插件提供了常见的 RBAC 策略,如 Role、ClusterRole、RoleBinding、ClusterRoleBinding 和自定义的 SubjectAccessReview 和 LocalSubjectAccessReview。而外部 Authorization Webhook 允许我们将鉴权的逻辑外部化,并提供了更灵活的授权策略实现。
示例代码
我们通过以下示例代码来深入学习 Kubernetes 的 RBAC 实现。
创建名为 pod-reader 的 Role
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: pod-reader namespace: default rules: - apiGroups: [""] # "" 表示 core API Group resources: ["pods"] verbs: ["get", "watch"]
这里我们创建了一个名为 pod-reader 的 Role,拥有 default namespace 中的 pods 资源的 get 和 watch 权限。
创建名为 pod-reader-binding 的 RoleBinding
apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: pod-reader-binding namespace: default subjects: - kind: User name: my-username # 替换成真实的用户名 roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io
这里我们创建了一个名为 pod-reader-binding 的 RoleBinding,将 my-username 用户和 pod-reader 角色绑定在一起。
测试访问权限
我们使用 kubeconfig 文件进行认证和授权,测试 my-username 用户访问 default namespace 中的 pods 资源是否具有 get 和 watch 的权限。
apiVersion: v1
kind: Pod
metadata:
name: nginx-pod
namespace: default
spec:
containers:
- name: nginx
image: nginx:1.20
ports:
- containerPort: 80首先,我们使用 kubectl create 命令创建一个名为 nginx-pod 的 pod。
$ kubectl create -f pod.yaml pod/nginx-pod created
然后,我们使用 kubectl auth can-i 命令测试 my-username 用户是否有权限访问 pods。
$ kubectl auth can-i get pods -n default --as my-username yes
这里我们使用了 --as 参数将认证的用户名设置为 my-username,结果是 yes,表示 my-username 具有 get pods 的权限。
总结
本文深入探讨了 Kubernetes 的 RBAC 实现原理,并通过示例代码展现了其学习和指导意义。RBAC 是 Kubernetes 中的重要组件,使用它可以实现 fine-grained 的访问控制,提高安全性和可靠性。希望读者能够通过本文深入理解 Kubernetes 的 RBAC 实现原理,并应用到实际的系统中。
来源:JavaScript中文网 ,转载请注明来源 本文地址:https://www.javascriptcn.com/post/65b37d5cadd4f0e0ffc8f7aa