【容器】K8s RBAC介绍

bee_yyy2024-01-07 8:51

认识RBAC

RBAC(基于角色的访问控制)是一种将权限分配给用户和服务的方法,基于他们的角色来确定他们可以访问和修改的资源。K8s使用RBAC作为来访请求鉴权的机制之一。

场景:访问K8s接口时的认证和鉴权

某些场景下,我们需要与K8s API Server交互,以获取或变更集群中资源的状态。我们知道,访问K8s API Server是需要认证,鉴权,准入控制,审计四个步骤的。

其中认证(password,Service account token,X509 客户端证书认证),鉴权(节点授权,RBAC,ABAC)的信息需要客户端在请求中携带。因此,为了请求K8s API,首先我们需要从K8s获取认证,鉴权信息。K8s为我们准备了这样一份信息: kubeconfig file。该文件在每一个可正常执行kubectl的K8s节点机的/root/.kube/config。获取这个文件后,我们可以使用如下样例代码列举K8s特定命名空间中的所有deployments:

复制代码 
from kubernetes import client, config

def list_deployments(namespace):
    # Load the kubeconfig file
    config.load_kube_config('/root/.kube/config')

    # Create an instance of the API class
    apps_v1 = client.AppsV1Api()
    
    print(f"Listing deployments in namespace: {namespace}")
    
    # List deployments
    deployments = apps_v1.list_namespaced_deployment(namespace)
    for deployment in deployments.items:
        print(deployment.metadata.name)

# Replace 'your_namespace' with the desired namespace
list_deployments('your_namespace')

通过这种方式获取访问K8s所需的认证,鉴权信息方便有效。不过有安全隐患,在后面的章节我们会通过分析这个文件的内容,解析安全隐患在哪里。在此之前,需先了解K8s RBAC(Role Based Access Control)的基础知识。

RBAC中的resource和verb

RBAC中resource是可以被操作的资源对象,verbs是操作的动作。

复制代码 
#resource
pods,nodes,deployments,service
#verbs
create, delete, get, list, patch, watch

通过下面的命令可以查看K8s中的资源和对应的动作
kubectl api-resources -o wide

RBAC中的role

Role定义了对resource做什么verb。

复制代码 
# 删除Pods
Delete Pods
# 更新Service
patch Service

以下Role描述文件定义了该role能够对"deployments", "statefulsets"进行"get", "watch", "list", "patch", "update"

复制代码 
apiVersion: rbac.authorization.k8s.io/v1
## 这里也可以使用 Role
kind: ClusterRole
metadata:
  name: deploy-cluster-role
rules:
- apiGroups: ["apps"]
  resources: ["deployments", "statefulsets"]
  verbs: ["get", "watch", "list", "patch", "update"]

RBAC中的ServiceAccount

以下yaml创建一个ServiceAccount(testapp)。绑定该ServiceAccount的应用使用该身份与K8s集群进行交互。

复制代码 
apiVersion: v1
kind: ServiceAccount
metadata:
  name: testapp
  # change to desired namespace
  namespace: default

RBAC中的RoleBinding

RoleBinding将ServiceAccount绑定到Role上。表示应用对资源的操作。

以下yaml把Role:deploy-cluster-role绑定到ServiceAccount:testApp上

复制代码 
apiVersion: rbac.authorization.k8s.io/v1
## 这里也可以使用 RoleBinding
kind: ClusterRoleBinding
metadata:
  name: deploy-role-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: deploy-cluster-role
subjects:
- kind: ServiceAccount
  name: testapp
  namespace: default

小结

至此了解了RBAC的基本元素Resource,Verb,Role,ServiceAccount,RoleBinding。并了解了这些概念在K8s中的落地。下篇我们介绍具体的实践。

相关推荐
阿里云云原生1 小时前
深入内核:拆解 OpenTelemetry eBPF 探针如何优雅地“透视”多语言微服务?
云原生
2601_961875245 小时前
决战申论100题2026|最新|范文
linux·容器·centos·debian·ssh·fabric·vagrant
java_cj5 小时前
深入kube-apiserver认证机制:从Bearer Token到mTLS的完整认证链解析
linux·运维·服务器·云原生·容器·kubernetes
程序员老赵6 小时前
服务器没有桌面?Docker 跑个 Chrome,浏览器就能远程用
docker·容器·devops
正经教主6 小时前
【docker基础】 第八周:容器监控与应用更新策略
运维·docker·容器
kiros_wang6 小时前
Docker 使用完整指南
运维·docker·容器
正经教主7 小时前
【docker基础】第九周:Docker安全与镜像优化
运维·docker·容器
qq_452396238 小时前
第十三篇:《K8s 安全基础:RBAC、ServiceAccount、Pod Security》
java·安全·kubernetes
睡不醒男孩0308239 小时前
云原生运维实战:高并发架构下的云原生可观测性、韧性降级与自动化干预体系
数据库·kubernetes·高并发·prometheus·devops·sre·缓存调优
qq_4523962310 小时前
第十四篇:《K8s 网络模型与 CNI 插件(Calico、Flannel、Cilium)》
网络·kubernetes·php
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06HTTP 与 HTTPS 的区别:从原理到实战详解07上线仅72小时被强制下架:Claude Fable 5 的短命082026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?09AI科技热点日报 | 2026年6月1日10Codex 下载安装指南:Windows 和 macOS 官方版下载