48、k8s-安全认证-授权管理-角色创建、用户绑定角色
授权发生在认证成功之后、同i过认证就可以知道请求用户是谁、然后kubernetes会根据事先定义的授权策略来决定用户是否有权限访问、这个过程就称为授权 每个发送到APIServer的请求都带上了用户和资源的信息:比如发送请求的用户、请求的路径、请求的动作等、授权就是根据这些信息和授权策略进行比较、如果符合策略、则认为授权通过、否则会返回错误 API Server目前支持以下几种授权策略: ·AlwaysDeny:表示拒绝所有请求、一般用于测式 ·AlwaysAllow:允许接收所有请求、相当于集群不需要授权流程(kubernetes默认的策略) ·ABAC:基于属性的访问控制、表示使用用户配置的授权规则对用户请求进行匹配和控制 ·Webhook:通过调用外部REST服务对用户进行授权 ·Node:是一种专用模式、用于对kubernetes发出的请求进行访问控制 ·RBAC:基于角色的访问控制(kubeadm安装方式下的默认选项) RBAC(Role-Base Access Control)基于角色的访问控制、只要是在描述一件事情:给哪些对象授予了哪些权限、其中涉及到了下面几个概念: ·对象:User、Group、ServiceAccount ·角色:代表着一组定义在资源上的可操作的动作 ·绑定:将定义好的角色跟用户绑定在一起
RBAC引入了4个顶级资源对象: ·Role、ClusterRole:角色、用于指定一组权限 ·RoleBinding、ClusterRoleBinding:角色绑定、哟用于将角色(权限) 赋予对象 Role、ClusterRole:一个角色就是一组权限的集合、这里的权限都是许可形式的(白名单) #Role 的资源清单: #Role只能对命名空间内的资源进行授权、需要指定namespace -------------------------------------------------------------------------- kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: authorization-role namespace: dev rules: - apiGroups: [""] #支持的API组列表、""空字符串、表示核心API群 resources: ["pods"] #支持的资源对象列表 verbs: ["get", "watch", "list"] #资源对象可操作的方法(资源对象的权限) ----------------------------------------------------------------------------------- #ClusterRole的资源清单: #ClusterRole可以对集群范围内资源、跨namespace的范围资源、非资源类型进行授权 ---------------------------------------------------------------------------------- kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: authorization-clusterrole rules: - apiGroups: [""] #支持的API组列表、""空字符串、表示核心API群 resources: ["pods"] #支持的资源对象列表 verbs: ["get", "watch", "list"] #资源对象可操作的方法(资源对象的权限) ------------------------------------------------------------------------------ 需要详细说明的是rule中的参数: 1、apiGroups:支持的资源对象列表 ·"","apps","autoscaling","batch" 2、resources:支持的资源对象列表 ·"services", "endpoints", "pods", "secrets,“configmaps","crontabs","deployments","jobs""nodes","rolebindings", ·"clusterroles","da aemonsets", "replicasets", "statefulsets","horizontalpodautoscalers","replicationco ontrollers","cronjobs" 3、verbs:对资源对象的操作方法列表 ·"get", "list", "watch", "create", "updatae", "patch", "delete", "exec"
RoleBinding、ClusterRoleBinding
RoleBinding、ClusterRoleBinding 角色绑定用来把一个角色绑定到一个目标对象上、绑定目标可以是User、Group或则是ServiceAccount #RoleBinding的资源清单: #RoleBinding可以将同一namespace中的subject绑定到某个Role下、则此subject即具有该Role定义的权限 ----------------------------------------------------- kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: authorization-role-binding namespace: dev subject: #用于定义对象 - kind: User name: taixin apiGroup: rbac.authorization.k8s.io roleRef: #指向的角色 kind: Role name: authorization-role apiGroup:rbac.authorization.k8s.io ----------------------------------------------------------------------- #ClusterRoleBinding的资源清单 #ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject域ClusterRole绑定、授予权限 -------------------------------------------------------------- kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: authorization-role-binding subject: #用于定义对象 - kind: User name: taixin apiGroup: rbac.authorization.k8s.io roleRef: #指向的角色 kind: Role name: authorization-role apiGroup:rbac.authorization.k8s.io -----------------------------------------------------------
实战:创建一个只能管理dev空间下的Pods资源的账号
1、创建账号
1、创建证书: ·mkdir /etc/kubernetes/pki/ -p · cd /etc/kubernetes/pki/ · (umask 007;openssl genrsa -out devman.key 2048) #创建一个名为devman.key 的证书 2、用apiserver的证书去签署 ·签名申请、申请的用户是devman、组是devgroup ·openssl req -new -key devman.key -out devman.csr -subj "/CN=devman/0=devgroup" #生成一个dev.csr的签名证书 3、签署证书: ·openssl x509 -req -in devman.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out devman.crt -days 3650 --------------------------------------------------- Signature ok subject=/CN=devman Getting CA Private Key #生成devman.crt和ca.srl文件 ------------------------------------ 4、设置集群、用户、上下文信息 ·设置集群kubernetes:kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.177.160:6443 ·设置用户devman:kubectl config set-credentials devman --embed-certs=true --client-certificate=/etc/kubernetes/pki/devman.crt --client-key=/etc/kubernetes/pki/devman.key ·让用户devman绑定到集群kubernetes:kubectl config set-context devman@kubernetes --cluster=kubernetes --user=devman 5、切换账户devman: ·kubectl config use-context devman@kubernetes --------------------------------------------------- Switched to context "devman@kubernetes". #当前用户 ----------------------------------------------------- ·使用该账户执行查看dev下的pod、提示无权限:kubectl get pods -ndev ---------------------------------------------------------------------- Error from server (Forbidden): pods is forbidden: User "devman" cannot list resource "pods" in API group "" in the namespace "dev" ----------------------------------------------------------------------------------------------------------------------------------- 6、切换会管理员权限去给devman账户授权: ·默认admin是管理员:kubectl config use-context kubernetes-admin@kubernetes 7、创建角色Role、然后将角色绑定(RoleBinding)到devman用户: ·创建yaml文件:vim dev-role.yaml --------------------------------------------------------------------- apiVersion: rbac.authorization.k8s.io/v1beta1 kind: Role metadata: namespace: dev name: dev-role #角色名 rules: - apiGroups: [""] #组 resources: ["pods"] #角色可操作的资源对象 verbs: ["get", "watch", "list"] #角色的权限 --- apiVersion: rbac.authorization.k8s.io/v1beta1 kind: RoleBinding metadata: name: authorization-role-binding namespace: dev subjects: #绑定的用户信息 - kind: User name: devman apiGroup: rbac.authorization.k8s.io roleRef: #给用户授权绑定的角色 kind: Role name: dev-role #角色吗,名 apiGroup: rbac.authorization.k8s.io ------------------------------------------------------------------------------------ 8、执行文件创建角色和用户授权:kubectl create -f dev-role.yaml ---------------------------------------------------------------------- role.rbac.authorization.k8s.io/dev-role created rolebinding.rbac.authorization.k8s.io/authorization-role-binding created ------------------------------------------------------------------------- 9、再次切换账户devman: ·kubectl config use-context devman@kubernetes ·再查看pod资源:kubectl get pods -ndev ·此时就可以查看dev空间下的pods了 ·注意只能查看dev空间下的、其它空间的没有授权是无法查看的
本文作者:little小新
本文链接:https://www.cnblogs.com/littlecc/p/17701161.html
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
分类:
标签:
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步