十四 用户权限系统
在 k8s 中的用户权限系统是使用 RBAC 模式的,RBAC 是 Role-Based AC 的缩写,全称:基于角色的访问控制。
我们可以让一个用户扮演一个角色,而这个角色拥有权限,而这个用户就拥有了这个权限,所以在 RBAC 中,用户授权就是授权某个角色。
用户(user):用户可以拥有某个角色。
角色(role):角色可以拥有某些许可。 1. 操作 2. 对象
许可(permission): 在一个对象上能施加的操作组合起来,称之为一个许可权限。
复制代码
Human User: # 用户账号Pod Service Account: # 服务账号
复制代码
- role(角色)、rolebinding(角色绑定)- clusterrole(集群角色)、clusterrolebinding(集群角色绑定)
复制代码
- 用户通过 rolebinding 去 bind rule,rolebinding 只能是当前命名空间中- 通过 clusterrolebinding 去 bind clausterrole,clusterrolebinding会在所有名称空间生效- 通过 rolebinding 去 bind clausterrole,由于 rolebinding 只在当前名称空间,所以 clusterrole 权限被限制为当前名称空间
复制代码
如果有很多名称空间、如果用 rolebinding 绑定 role,那么则需要在每个名称空间都定义 role如果使用 rolebinding 绑定一个 clausterrole ,由于 clusterrole 拥有所有名称空间的权限,而 rolebinding 只能绑定当前名称空间,那么就省去为每个名称空间都新建一个 role 的过程了。
复制代码
14.1 权限列表
kubectl get clusterrole admin -o yaml
复制代码
14.2 创建 Role
kubectl create role pods-reader --verb=get,list,watch --resource=pods
复制代码
apiVersion: rbac.authorization.k8s.io/v1kind: Rolemetadata: name: pods-reder namespace: defaultrules:- apiGroups: # 对哪些 api 群组内的资源进行操作 - "" resources: # 对哪些资源授权 - pods verbs: # 授权做哪些操作 - get - list - watch
复制代码
14.3 创建 rolebinding
kubectl create rolebinding kaliarch-read-pods --role=pods-reader --user=kaliarch
复制代码
apiVersion: rbac.authorization.k8s.io/v1kind: RoleBindingmetadata: name: kaliarch-read-podsroleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: pods-readersubjects:- apiGroup: rbac.authorization.k8s.io kind: User name: kaliarch
复制代码
$ kubectl config use-context kaliarch@kubernetes
复制代码
14.4 创建 clusterrole
kubectl create clusterrole cluster-reader --verb=get,list,watch --resource=pods
复制代码
apiVersion: rbac.authorization.k8s.io/v1kind: ClusterRolemetadata: name: cluster-readerrules:- apiGroups: - "" resources: - pods verbs: - get - list - watch
复制代码
NAME AGEadmin 5d16hcluster-admin 5d16hcluster-reader 4m32sedit 5d16hflannel 5d6hsystem:aggregate-to-admin 5d16hsystem:aggregate-to-edit 5d16hsystem:aggregate-to-view 5d16hsystem:auth-delegator 5d16hsystem:aws-cloud-provider 5d16hsystem:basic-user 5d16hsystem:certificates.k8s.io:certificatesigningrequests:nodeclient 5d16hsystem:certificates.k8s.io:certificatesigningrequests:selfnodeclient 5d16hsystem:controller:attachdetach-controller 5d16hsystem:controller:certificate-controller 5d16hsystem:controller:clusterrole-aggregation-controller 5d16hsystem:controller:cronjob-controller 5d16hsystem:controller:daemon-set-controller 5d16h
复制代码
14.5 创建 clusterrolebinding
kubectl create clusterrolebinding kaliarch-read-all-pods --clusterrole=cluster-reader --user=kaliarch
复制代码
apiVersion: rbac.authorization.k8s.io/v1beta1kind: ClusterRoleBindingmetadata: name: kaliarch-read-all-podsroleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-readersubjects:- apiGroup: rbac.authorization.k8s.io kind: User name: kaliarch
复制代码
$ kubectl config use-context kaliarch@kubernetes
复制代码
$ kubectl get pods -n kube-system$ kubectl config use-context kubernetes-admin@kubernetes
复制代码
14.6 rolebinding 与 clusterrole
如果使用 rolebinding 绑定一个 clusterrole ,由于 clusterrole 拥有所有名称空间的权限,而 rolebinding 只能绑定当前名称空间,那么就省去为每个名称空间都新建一个 role 的过程了。
$ kubectl create rolebinding kaliarch-cluster-reader --clusterrole=cluster-reader --user=kaliarch
复制代码
apiVersion: rbac.authorization.k8s.io/v1kind: RoleBindingmetadata: name: kaliarch-adminroleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: adminsubjects:- apiGroup: rbac.authorization.k8s.io kind: User name: kaliarch
复制代码
$ kubectl config use-context kaliarch@kubernetes
复制代码
$ kubectl get pods -n kube-system$ kubectl config use-context kubernetes-admin@kubernetes
复制代码
14.7 RBAC 授权
在 bind 授权的时候,可以绑定的用户主体有:user、group
绑定到 user:表示只有这一个用户拥有 role 或者 clusterrole 的权限绑定到 group:表示这个组内的所有用户都具有了 role 或者 clusterrole 的权限
复制代码
# 创建私钥(umask 077; openssl genrsa -out kaliarch.key 2048)
# 生成证书签署请求,O 是组,CN 就是账号,这个账号被 k8s 用来识别身份,授权也需要授权这个账号openssl req -new -key kaliarch.key -out kaliarch.csr -subj "O=system:masters/CN=kaliarch/"
# 使用 CA 签署证书,并且在 1800 天内有效openssl x509 -req -in kaliarch.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out kaliarch.crt -days 1800
# 查看证书openssl x509 -in kaliarch.crt -text -noout
复制代码
其他
自己将手记发在:https://github.com/redhatxl/awesome-kubernetes-notes欢迎一键三连
评论