【容器】K8s RBAC介绍

bee_yyy2024-01-07 8:51

认识RBAC

RBAC(基于角色的访问控制)是一种将权限分配给用户和服务的方法,基于他们的角色来确定他们可以访问和修改的资源。K8s使用RBAC作为来访请求鉴权的机制之一。

场景:访问K8s接口时的认证和鉴权

某些场景下,我们需要与K8s API Server交互,以获取或变更集群中资源的状态。我们知道,访问K8s API Server是需要认证,鉴权,准入控制,审计四个步骤的。

其中认证(password,Service account token,X509 客户端证书认证),鉴权(节点授权,RBAC,ABAC)的信息需要客户端在请求中携带。因此,为了请求K8s API,首先我们需要从K8s获取认证,鉴权信息。K8s为我们准备了这样一份信息: kubeconfig file。该文件在每一个可正常执行kubectl的K8s节点机的/root/.kube/config。获取这个文件后,我们可以使用如下样例代码列举K8s特定命名空间中的所有deployments:

复制代码 
from kubernetes import client, config

def list_deployments(namespace):
    # Load the kubeconfig file
    config.load_kube_config('/root/.kube/config')

    # Create an instance of the API class
    apps_v1 = client.AppsV1Api()
    
    print(f"Listing deployments in namespace: {namespace}")
    
    # List deployments
    deployments = apps_v1.list_namespaced_deployment(namespace)
    for deployment in deployments.items:
        print(deployment.metadata.name)

# Replace 'your_namespace' with the desired namespace
list_deployments('your_namespace')

通过这种方式获取访问K8s所需的认证,鉴权信息方便有效。不过有安全隐患,在后面的章节我们会通过分析这个文件的内容,解析安全隐患在哪里。在此之前,需先了解K8s RBAC(Role Based Access Control)的基础知识。

RBAC中的resource和verb

RBAC中resource是可以被操作的资源对象,verbs是操作的动作。

复制代码 
#resource
pods,nodes,deployments,service
#verbs
create, delete, get, list, patch, watch

通过下面的命令可以查看K8s中的资源和对应的动作
kubectl api-resources -o wide

RBAC中的role

Role定义了对resource做什么verb。

复制代码 
# 删除Pods
Delete Pods
# 更新Service
patch Service

以下Role描述文件定义了该role能够对"deployments", "statefulsets"进行"get", "watch", "list", "patch", "update"

复制代码 
apiVersion: rbac.authorization.k8s.io/v1
## 这里也可以使用 Role
kind: ClusterRole
metadata:
  name: deploy-cluster-role
rules:
- apiGroups: ["apps"]
  resources: ["deployments", "statefulsets"]
  verbs: ["get", "watch", "list", "patch", "update"]

RBAC中的ServiceAccount

以下yaml创建一个ServiceAccount(testapp)。绑定该ServiceAccount的应用使用该身份与K8s集群进行交互。

复制代码 
apiVersion: v1
kind: ServiceAccount
metadata:
  name: testapp
  # change to desired namespace
  namespace: default

RBAC中的RoleBinding

RoleBinding将ServiceAccount绑定到Role上。表示应用对资源的操作。

以下yaml把Role:deploy-cluster-role绑定到ServiceAccount:testApp上

复制代码 
apiVersion: rbac.authorization.k8s.io/v1
## 这里也可以使用 RoleBinding
kind: ClusterRoleBinding
metadata:
  name: deploy-role-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: deploy-cluster-role
subjects:
- kind: ServiceAccount
  name: testapp
  namespace: default

小结

至此了解了RBAC的基本元素Resource,Verb,Role,ServiceAccount,RoleBinding。并了解了这些概念在K8s中的落地。下篇我们介绍具体的实践。

相关推荐
007php00743 分钟前
百度面试题解析:微服务架构、Dubbo、Redis及其一致性问题(一)
redis·百度·docker·微服务·容器·职场和发展·架构
東雪蓮☆1 小时前
K8s 平滑升级
linux·运维·云原生·kubernetes
我狸才不是赔钱货4 小时前
容器:软件世界的标准集装箱
linux·运维·c++·docker·容器
三坛海会大神5556 小时前
k8s(十)Helm详解
云原生·容器·kubernetes
安卓开发者6 小时前
Docker命令大全:从入门到精通
docker·容器·eureka
K_i1347 小时前
Kubernetes流量管理:从Ingress到GatewayAPI演进
云原生·容器·kubernetes
蓝色土耳其love8 小时前
centos 7.9 安装单机版k8s
linux·运维·服务器·kubernetes·centos
七度光阴;9 小时前
Docker入门手册
运维·docker·容器
007php00711 小时前
百度面试题解析:Zookeeper、ArrayList、生产者消费者模型及多线程(二)
java·分布式·zookeeper·云原生·职场和发展·eureka·java-zookeeper
weixin_4050233711 小时前
使用docker 安装部署easy-mock
运维·docker·容器
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Linux下V2Ray安装配置指南05GitLab 零基础入门指南:从安装到项目管理全流程062025软件测试面试八股文(含答案+文档)07两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答08KGG转MP3工具|非KGM文件|解密音频09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)