第13章:Kubernetes 鉴权框架与用户权限分配
-
访问K8S集群的资源需要过三关:认证、鉴权、准入控制
-
普通用户若要安全访问集群API Server,往往需要证书、Token或者用户名+密码;Pod访问,需要ServiceAccount
-
K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。
访问API资源要经过以下三关才可以:
-
Authentication(鉴权)
-
Authorization(授权)
-
Admission Control(准入控制)
2.传输安全,认证,授权,准入控制
传输安全:
-
告别8080,迎接6443(http://172.16.1.70:6443/) Client sent an HTTP request to an HTTPS server.
-
全面基于HTTPS通信
鉴权:三种客户端身份认证:
-
HTTPS 证书认证:基于CA证书签名的数字证书认证
[root@k8s-admin ~]# ls /etc/kubernetes/pki/ [root@k8s-admin ~]# ls -l /root/.kube/config -rw------- 1 root root 5451 Apr 24 18:40 /root/.kube/config
-
HTTP Token认证:通过一个Token来识别用户
-
HTTP Base认证:用户名+密码的方式认证
授权:
RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。
根据API请求属性,决定允许还是拒绝。
准入控制:
Adminssion Control实际上是一个准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。
3.使用RBAC授权
RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
角色
-
Role:授权特定命名空间的访问权限
-
ClusterRole:授权所有命名空间的访问权限
角色绑定
-
RoleBinding:将角色绑定到主体(即subject)
-
ClusterRoleBinding:将集群角色绑定到主体
主体(subject)
-
User:用户
-
Group:用户组
-
ServiceAccount:服务账号
示例:为aliang用户授权default命名空间Pod读取权限
1、用K8S CA签发客户端证书
# tar -xzf cfssl.tar.gz
# cp -a cfssl/* /usr/bin/
# cat cert.shcat > ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "87600h" } } } } EOF cat > lc-csr.json <<EOF { "CN": "lc", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] } EOF cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes lc-csr.json | cfssljson -bare lc
# sh cert.sh
生成如下文件
ca-config.json lc.csr lc-csr.json lc-key.pem lc.pem
2、生成kubeconfig授权文件
# cat config.sh
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true \
--server=https://172.16.1.70:6443 \
--kubeconfig=lc.kubeconfig
# 设置客户端认证
kubectl config set-credentials lc \
--client-key=lc-key.pem \
--client-certificate=lc.pem \
--embed-certs=true \
--kubeconfig=lc.kubeconfig
# 设置默认上下文
kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=lc \
--kubeconfig=lc.kubeconfig
# 设置当前使用配置
kubectl config use-context kubernetes --kubeconfig=lc.kubeconfig
# sh config.sh
会生成 lc.kubeconfig 文件
3、创建RBAC权限策略
# cat rbac.yaml --- # 创建角色(权限集合) kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] --- # 将lc用户绑定到角色 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: read-pods namespace: default subjects: - kind: User name: lc apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io # kubectl apply -f rbac.yaml # 具体的角色权限可以参考官网rbac相关文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/
4、测试
# kubectl get Role
NAME AGE
pod-reader 7m46s
# kubectl get RoleBinding
NAME AGE
read-pods 7m49s
# kubectl --kubeconfig=lc.kubeconfig get pods
NAME READY STATUS RESTARTS AGE
nginx-86c57db685-rrhzp 1/1 Running 1 28d
# kubectl --kubeconfig=lc.kubeconfig get pods -n kube-system
Error from server (Forbidden): pods is forbidden: User "lc" cannot list resource "pods" in API group "" in the namespace "kube-system"
# lc用户只有访问default命名空间Pod读取权限。
