2024-07-01 22:17阅读: 270评论: 0推荐: 0

48、k8s-安全认证-授权管理-角色创建、用户绑定角色

 授权发生在认证成功之后、同i过认证就可以知道请求用户是谁、然后kubernetes会根据事先定义的授权策略来决定用户是否有权限访问、这个过程就称为授权
 
每个发送到APIServer的请求都带上了用户和资源的信息：比如发送请求的用户、请求的路径、请求的动作等、授权就是根据这些信息和授权策略进行比较、如果符合策略、则认为授权通过、否则会返回错误
 
API Server目前支持以下几种授权策略：
·AlwaysDeny：表示拒绝所有请求、一般用于测式
·AlwaysAllow：允许接收所有请求、相当于集群不需要授权流程（kubernetes默认的策略）
·ABAC:基于属性的访问控制、表示使用用户配置的授权规则对用户请求进行匹配和控制
·Webhook：通过调用外部REST服务对用户进行授权
·Node：是一种专用模式、用于对kubernetes发出的请求进行访问控制
·RBAC：基于角色的访问控制（kubeadm安装方式下的默认选项）
 
RBAC（Role-Base Access Control）基于角色的访问控制、只要是在描述一件事情：给哪些对象授予了哪些权限、其中涉及到了下面几个概念：
·对象：User、Group、ServiceAccount
·角色：代表着一组定义在资源上的可操作的动作
·绑定：将定义好的角色跟用户绑定在一起

 RBAC引入了4个顶级资源对象：
·Role、ClusterRole：角色、用于指定一组权限
·RoleBinding、ClusterRoleBinding：角色绑定、哟用于将角色（权限） 赋予对象
 
Role、ClusterRole：一个角色就是一组权限的集合、这里的权限都是许可形式的（白名单）
 
#Role 的资源清单：
#Role只能对命名空间内的资源进行授权、需要指定namespace
--------------------------------------------------------------------------
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role
  namespace: dev
rules:
- apiGroups: [""]   #支持的API组列表、""空字符串、表示核心API群
  resources: ["pods"]    #支持的资源对象列表
  verbs: ["get", "watch", "list"]    #资源对象可操作的方法（资源对象的权限）
-----------------------------------------------------------------------------------
 
#ClusterRole的资源清单：
#ClusterRole可以对集群范围内资源、跨namespace的范围资源、非资源类型进行授权
----------------------------------------------------------------------------------
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-clusterrole
rules:
- apiGroups: [""]   #支持的API组列表、""空字符串、表示核心API群
  resources: ["pods"]    #支持的资源对象列表
  verbs: ["get", "watch", "list"]    #资源对象可操作的方法（资源对象的权限）
------------------------------------------------------------------------------
 
需要详细说明的是rule中的参数：
1、apiGroups：支持的资源对象列表
    ·"","apps","autoscaling","batch"
2、resources：支持的资源对象列表
    ·"services", "endpoints", "pods", "secrets,“configmaps","crontabs","deployments","jobs""nodes","rolebindings", 
    ·"clusterroles","da aemonsets", "replicasets", "statefulsets","horizontalpodautoscalers","replicationco ontrollers","cronjobs"
3、verbs：对资源对象的操作方法列表
    ·"get", "list", "watch", "create", "updatae", "patch", "delete", "exec"

RoleBinding、ClusterRoleBinding

 RoleBinding、ClusterRoleBinding
角色绑定用来把一个角色绑定到一个目标对象上、绑定目标可以是User、Group或则是ServiceAccount
 
#RoleBinding的资源清单：
#RoleBinding可以将同一namespace中的subject绑定到某个Role下、则此subject即具有该Role定义的权限
-----------------------------------------------------
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role-binding
  namespace: dev
subject:            #用于定义对象
- kind: User
  name: taixin
  apiGroup: rbac.authorization.k8s.io
roleRef:            #指向的角色
  kind: Role
  name: authorization-role
  apiGroup:rbac.authorization.k8s.io
-----------------------------------------------------------------------
 
#ClusterRoleBinding的资源清单
#ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject域ClusterRole绑定、授予权限
--------------------------------------------------------------
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: authorization-role-binding
subject:            #用于定义对象
- kind: User
  name: taixin
  apiGroup: rbac.authorization.k8s.io
roleRef:            #指向的角色
  kind: Role
  name: authorization-role
  apiGroup:rbac.authorization.k8s.io
-----------------------------------------------------------

实战：创建一个只能管理dev空间下的Pods资源的账号

1、创建账号

 1、创建证书：
    ·mkdir /etc/kubernetes/pki/ -p
    · cd /etc/kubernetes/pki/
    · (umask 007;openssl genrsa -out devman.key 2048)  #创建一个名为devman.key 的证书
2、用apiserver的证书去签署
    ·签名申请、申请的用户是devman、组是devgroup
    ·openssl req -new -key devman.key -out devman.csr -subj "/CN=devman/0=devgroup"    #生成一个dev.csr的签名证书
3、签署证书：
    ·openssl x509 -req -in devman.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out devman.crt -days 3650
    ---------------------------------------------------
    Signature ok
    subject=/CN=devman
    Getting CA Private Key
    
    #生成devman.crt和ca.srl文件
    ------------------------------------
4、设置集群、用户、上下文信息
    ·设置集群kubernetes：kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.177.160:6443
    ·设置用户devman：kubectl config set-credentials devman --embed-certs=true --client-certificate=/etc/kubernetes/pki/devman.crt --client-key=/etc/kubernetes/pki/devman.key
    ·让用户devman绑定到集群kubernetes：kubectl config set-context devman@kubernetes --cluster=kubernetes --user=devman
5、切换账户devman：
    ·kubectl config use-context devman@kubernetes
    ---------------------------------------------------
    Switched to context "devman@kubernetes".    #当前用户
    -----------------------------------------------------
    ·使用该账户执行查看dev下的pod、提示无权限：kubectl get pods -ndev
    ----------------------------------------------------------------------
    Error from server (Forbidden): pods is forbidden: User "devman" cannot list resource "pods" in API group "" in the namespace "dev"
    -----------------------------------------------------------------------------------------------------------------------------------
6、切换会管理员权限去给devman账户授权：
    ·默认admin是管理员：kubectl config use-context kubernetes-admin@kubernetes
7、创建角色Role、然后将角色绑定（RoleBinding）到devman用户：
    ·创建yaml文件：vim dev-role.yaml
---------------------------------------------------------------------
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
  namespace: dev
  name: dev-role                        #角色名
rules:
- apiGroups: [""]                       #组
  resources: ["pods"]                   #角色可操作的资源对象
  verbs: ["get", "watch", "list"]       #角色的权限
 
---
 
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: RoleBinding
metadata:
  name: authorization-role-binding
  namespace: dev
subjects:                    #绑定的用户信息
- kind: User
  name: devman
  apiGroup: rbac.authorization.k8s.io
roleRef:                     #给用户授权绑定的角色
  kind: Role
  name: dev-role            #角色吗，名
  apiGroup: rbac.authorization.k8s.io
------------------------------------------------------------------------------------
8、执行文件创建角色和用户授权：kubectl create -f dev-role.yaml
----------------------------------------------------------------------
role.rbac.authorization.k8s.io/dev-role created
rolebinding.rbac.authorization.k8s.io/authorization-role-binding created
-------------------------------------------------------------------------
9、再次切换账户devman：
    ·kubectl config use-context devman@kubernetes
    ·再查看pod资源：kubectl get pods -ndev 
    ·此时就可以查看dev空间下的pods了
    ·注意只能查看dev空间下的、其它空间的没有授权是无法查看的

上一篇45、k8s-数据存储-配置存储-secret-（用于存储配置信息的-比configMap安全）-密文存储

下一篇50、k8s-DashBoard（k8s的web）-部署

本文作者：little小新

本文链接：https://www.cnblogs.com/littlecc/p/17701161.html

posted @ 2024-07-01 22:17 little小新阅读(270) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

littlecc

无限制的技术都要学

48、k8s-安全认证-授权管理-角色创建、用户绑定角色

公告

常用链接

我的标签

随笔分类

随笔档案

相册

阅读排行榜

评论排行榜

推荐排行榜

最新评论

	授权发生在认证成功之后、同i过认证就可以知道请求用户是谁、然后kubernetes会根据事先定义的授权策略来决定用户是否有权限访问、这个过程就称为授权

	每个发送到APIServer的请求都带上了用户和资源的信息：比如发送请求的用户、请求的路径、请求的动作等、授权就是根据这些信息和授权策略进行比较、如果符合策略、则认为授权通过、否则会返回错误

	API Server目前支持以下几种授权策略：
	·AlwaysDeny：表示拒绝所有请求、一般用于测式
	·AlwaysAllow：允许接收所有请求、相当于集群不需要授权流程（kubernetes默认的策略）
	·ABAC:基于属性的访问控制、表示使用用户配置的授权规则对用户请求进行匹配和控制
	·Webhook：通过调用外部REST服务对用户进行授权
	·Node：是一种专用模式、用于对kubernetes发出的请求进行访问控制
	·RBAC：基于角色的访问控制（kubeadm安装方式下的默认选项）

	RBAC（Role-Base Access Control）基于角色的访问控制、只要是在描述一件事情：给哪些对象授予了哪些权限、其中涉及到了下面几个概念：
	·对象：User、Group、ServiceAccount
	·角色：代表着一组定义在资源上的可操作的动作
	·绑定：将定义好的角色跟用户绑定在一起

	RBAC引入了4个顶级资源对象：
	·Role、ClusterRole：角色、用于指定一组权限
	·RoleBinding、ClusterRoleBinding：角色绑定、哟用于将角色（权限）赋予对象

	Role、ClusterRole：一个角色就是一组权限的集合、这里的权限都是许可形式的（白名单）

	#Role 的资源清单：
	#Role只能对命名空间内的资源进行授权、需要指定namespace
	--------------------------------------------------------------------------
	kind: Role
	apiVersion: rbac.authorization.k8s.io/v1beta1
	metadata:
	name: authorization-role
	namespace: dev
	rules:
	- apiGroups: [""] #支持的API组列表、""空字符串、表示核心API群
	resources: ["pods"] #支持的资源对象列表
	verbs: ["get", "watch", "list"] #资源对象可操作的方法（资源对象的权限）
	-----------------------------------------------------------------------------------

	#ClusterRole的资源清单：
	#ClusterRole可以对集群范围内资源、跨namespace的范围资源、非资源类型进行授权
	----------------------------------------------------------------------------------
	kind: Role
	apiVersion: rbac.authorization.k8s.io/v1beta1
	metadata:
	name: authorization-clusterrole
	rules:
	- apiGroups: [""] #支持的API组列表、""空字符串、表示核心API群
	resources: ["pods"] #支持的资源对象列表
	verbs: ["get", "watch", "list"] #资源对象可操作的方法（资源对象的权限）
	------------------------------------------------------------------------------

	需要详细说明的是rule中的参数：
	1、apiGroups：支持的资源对象列表
	·"","apps","autoscaling","batch"
	2、resources：支持的资源对象列表
	·"services", "endpoints", "pods", "secrets,“configmaps","crontabs","deployments","jobs""nodes","rolebindings",
	·"clusterroles","da aemonsets", "replicasets", "statefulsets","horizontalpodautoscalers","replicationco ontrollers","cronjobs"
	3、verbs：对资源对象的操作方法列表
	·"get", "list", "watch", "create", "updatae", "patch", "delete", "exec"

	RoleBinding、ClusterRoleBinding
	角色绑定用来把一个角色绑定到一个目标对象上、绑定目标可以是User、Group或则是ServiceAccount

	#RoleBinding的资源清单：
	#RoleBinding可以将同一namespace中的subject绑定到某个Role下、则此subject即具有该Role定义的权限
	-----------------------------------------------------
	kind: RoleBinding
	apiVersion: rbac.authorization.k8s.io/v1beta1
	metadata:
	name: authorization-role-binding
	namespace: dev
	subject: #用于定义对象
	- kind: User
	name: taixin
	apiGroup: rbac.authorization.k8s.io
	roleRef: #指向的角色
	kind: Role
	name: authorization-role
	apiGroup:rbac.authorization.k8s.io
	-----------------------------------------------------------------------

	#ClusterRoleBinding的资源清单
	#ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject域ClusterRole绑定、授予权限
	--------------------------------------------------------------
	kind: RoleBinding
	apiVersion: rbac.authorization.k8s.io/v1beta1
	metadata:
	name: authorization-role-binding
	subject: #用于定义对象
	- kind: User
	name: taixin
	apiGroup: rbac.authorization.k8s.io
	roleRef: #指向的角色
	kind: Role
	name: authorization-role
	apiGroup:rbac.authorization.k8s.io
	-----------------------------------------------------------

	1、创建证书：
	·mkdir /etc/kubernetes/pki/ -p
	· cd /etc/kubernetes/pki/
	· (umask 007;openssl genrsa -out devman.key 2048) #创建一个名为devman.key 的证书
	2、用apiserver的证书去签署
	·签名申请、申请的用户是devman、组是devgroup
	·openssl req -new -key devman.key -out devman.csr -subj "/CN=devman/0=devgroup" #生成一个dev.csr的签名证书
	3、签署证书：
	·openssl x509 -req -in devman.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out devman.crt -days 3650
	---------------------------------------------------
	Signature ok
	subject=/CN=devman
	Getting CA Private Key

	#生成devman.crt和ca.srl文件
	------------------------------------
	4、设置集群、用户、上下文信息
	·设置集群kubernetes：kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.177.160:6443
	·设置用户devman：kubectl config set-credentials devman --embed-certs=true --client-certificate=/etc/kubernetes/pki/devman.crt --client-key=/etc/kubernetes/pki/devman.key
	·让用户devman绑定到集群kubernetes：kubectl config set-context devman@kubernetes --cluster=kubernetes --user=devman
	5、切换账户devman：
	·kubectl config use-context devman@kubernetes
	---------------------------------------------------
	Switched to context "devman@kubernetes". #当前用户
	-----------------------------------------------------
	·使用该账户执行查看dev下的pod、提示无权限：kubectl get pods -ndev
	----------------------------------------------------------------------
	Error from server (Forbidden): pods is forbidden: User "devman" cannot list resource "pods" in API group "" in the namespace "dev"
	-----------------------------------------------------------------------------------------------------------------------------------
	6、切换会管理员权限去给devman账户授权：
	·默认admin是管理员：kubectl config use-context kubernetes-admin@kubernetes
	7、创建角色Role、然后将角色绑定（RoleBinding）到devman用户：
	·创建yaml文件：vim dev-role.yaml
	---------------------------------------------------------------------
	apiVersion: rbac.authorization.k8s.io/v1beta1
	kind: Role
	metadata:
	namespace: dev
	name: dev-role #角色名
	rules:
	- apiGroups: [""] #组
	resources: ["pods"] #角色可操作的资源对象
	verbs: ["get", "watch", "list"] #角色的权限

	---

	apiVersion: rbac.authorization.k8s.io/v1beta1
	kind: RoleBinding
	metadata:
	name: authorization-role-binding
	namespace: dev
	subjects: #绑定的用户信息
	- kind: User
	name: devman
	apiGroup: rbac.authorization.k8s.io
	roleRef: #给用户授权绑定的角色
	kind: Role
	name: dev-role #角色吗，名
	apiGroup: rbac.authorization.k8s.io
	------------------------------------------------------------------------------------
	8、执行文件创建角色和用户授权：kubectl create -f dev-role.yaml
	----------------------------------------------------------------------
	role.rbac.authorization.k8s.io/dev-role created
	rolebinding.rbac.authorization.k8s.io/authorization-role-binding created
	-------------------------------------------------------------------------
	9、再次切换账户devman：
	·kubectl config use-context devman@kubernetes
	·再查看pod资源：kubectl get pods -ndev
	·此时就可以查看dev空间下的pods了
	·注意只能查看dev空间下的、其它空间的没有授权是无法查看的