Kubernetes中所有的API对象,都保存在Etcd里,对这些API对象的操作,一定都是通过访问kube-apiserver实现的,原因是需要APIServer来做授权工作。

  在Kubernetes中,负责完成授权(Authorization)工作的机制,就是RBAC:基于角色的访问控制(Role-Based Access Control)

  RBAC中有三个最基本的概念:

1、Role:角色,它其实是一组规则,定义了一组对Kubernetes API对象的操作权限

  Role本身是一个Kubernetes的API对象,定义如下所示:

kind: Role

apiVersion: rbac.authorization.k8s.io/v1

metadata:

  namespace: mynamespace  ## 指定它能产生作用的Namespace

  name: example-role

rules:    ##  定义权限规则

- apiGroups: [""]

  resources: ["pods"]  ## 对mynamespace下面的Pod对象

  verbs: ["get", "watch", "list"]   ## 进行GET、WATCH、LIST操作

2、Subject:被作用者,既可以是“人”,也可以是“机器”,也可以是Kubernetes里定义的“用户”

3、RoleBinding:定义了“被作用者”和“角色”的绑定关系

  RoleBingding本身也是一个Kubernetes的API对象

kind: RoleBinding

apiVersion: rbac.authorization.k8s.io/v1

metadata:

  name: example-rolebinding

  namespace: mynamespace

subjects:   ## 被作用者

- kind: User     ## 类型是User

  name: example-user  ## 用户名是example-user

  apiGroup: rbac.authorization.k8s.io

roleRef:

## 通过roleRef字段,RoleBinding对象可以直接通过名字来引用Role对象,从而定义了被作用者(Subject)和角色(Role)之间的关系

  kind: Role

  name: example-role

  apiGroup: rbac.authorization.k8s.io

  需要注意的是:Role和RoleBinding对象都是Namespaced对象,它们对权限限制规则仅在它们自己的Namespace内有效,roleRef也只能引用当前Namespace里的Role对象

  那对于非Namespaced对象(如: node)或者一个Role想作用于所有的Namespace的时候,又该如何去做授权呢?

  这个时候就必须要使用ClusterRole和ClusterRoleBinding这个组合了,这两个API对象的用法跟Role和RoleBinding完全一样,只不过它们的定义里没有了Namespace字段

kind: ClusterRole

apiVersion: rbac.authorization.k8s.io/v1

metadata:

  name: example-clusterrole

rules:

- apiGroups: [""]

  resources: ["pods"]

  verbs: ["get", "watch", "list"]

kind: ClusterRoleBinding

apiVersion: rbac.authorization.k8s.io/v1

metadata:

  name: example-clusterrolebinding

subjects:

- kind: User

  name: example-user

  apiGroup: rbac.authorization.k8s.io

roleRef:

  kind: ClusterRole

  name: example-clusterrole

  apiGroup: rbac.authorization.k8s.io

   上面的例子里意味着名叫example-user的用户拥有对所有Namespace里的Pod进行GET、WATCH和LIST操作的权限。

  如果想要赋予用户所有权限,那可以给它指定一个verbs字段的全集

verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

  Role对象的Rules字段也可以进一步细化,如可以只针对某一个具体的对象进行权限设置

rules:

- apiGroups: [""]

  resources: ["configmaps"]

  resourceNames: ["my-config"]

  verbs: ["get"]

  那现在还有一个问题,在Kubernetes中其实并没有一个叫做“User”的API对象,那这个User从哪里来呢? 

  在Kubernetes的User只是一个授权系统里的逻辑概念,在大多数私有的使用环境中,只需要使用Kubernetes提供的内置“用户”足够了。负责管理内置用户的是ServiceAccount

  首先定义一个ServiceAccount

apiVersion: v1

kind: ServiceAccount

metadata:

  namespace: mynamespace

  name: example-sa

  然后通过编写RoleBinding的YAML文件,来为这个ServiceAccount分配权限

kind: RoleBinding

apiVersion: rbac.authorization.k8s.io/v1

metadata:

  name: example-rolebinding

  namespace: mynamespace

subjects:

- kind: ServiceAccount

  name: example-sa

  namespace: mynamespace

roleRef:

  kind: Role

  name: example-role

  apiGroup: rbac.authorization.k8s.io

  接着创建这个三个对象

$ kubectl create -f svc-account.yaml

$ kubectl create -f role-binding.yaml

$ kubectl create -f role.yaml

$ kubectl get sa -n mynamespace -o yaml

- apiVersion: v1

  kind: ServiceAccount

  metadata:

    creationTimestamp: 2018-09-08T12:59:17Z

    name: example-sa

    namespace: mynamespace

    resourceVersion: "409327"

    ...

  secrets:

  - name: example-sa-token-vmfg6

  可以看到,Kubernetes会为一个ServiceAccount自动创建并分配一个Secret对象。这个Secret就是ServiceAccount对应的、用来跟APIServer进行交互的授权文件,一般称为Token。 Token文件的内容一般是证书或者密码,它以一个Secret对象的方式保存在Etcd中。

  这时候,用户的Pod就可以声明使用这个ServiceAccount了

apiVersion: v1

kind: Pod

metadata:

  namespace: mynamespace

  name: sa-token-test

spec:

  containers:

  - name: nginx

    image: nginx:1.7.9

  serviceAccountName: example-sa

$ kubectl describe pod sa-token-test -n mynamespace

Name:               sa-token-test

Namespace:          mynamespace

...

Containers:

  nginx:

    ...

    Mounts:

      /var/run/secrets/kubernetes.io/serviceaccount from example-sa-token-vmfg6 (ro)

  如果一个Pod没有声明serviceAccountName,Kubernetes会自动在它的Namespace下创建一个名叫default的默认ServiceAccount,然后分配给这个Pod,这个默认的ServiceAccount并没有关联任何Role。

  除了 前面使用的User,Kubernetes还有用户组(Group)的概念

  实际上一个ServiceAccount,在Kubernetes里对应的User的名字是:

system:serviceaccount:<ServiceAccount 名字 >

  那它对应的Group的名字就是

system:serviceaccounts:<Namespace 名字 >

  现在可以在RoleBinding里定义如下的subjects:

subjects:

- kind: Group

  name: system:serviceaccounts:mynamespace  ## Role权限规则作用于Namespace里所有的ServiceAccount

  apiGroup: rbac.authorization.k8s.io

subjects:

- kind: Group

  name: system:serviceaccounts  ## Role权限规则作用于整个系统里所有ServiceAccount

  apiGroup: rbac.authorization.k8s.io
在这个国度中,必须不停地奔跑,才能使你保持在原地。如果想要寻求突破,就要以两倍现在速度奔跑!

【Kubernetes】基于角色的权限控制:RBAC的更多相关文章

  1. [Kubernetes]基于角色的权限控制之RBAC

    Kubernetes中有很多种内置的编排对象,此外还可以自定义API资源类型和控制器的编写方式.那么,我能不能自己写一个编排对象呢?答案是肯定的.而这,也正是Kubernetes项目最具吸引力的地方. ...

  2. RBAC: K8s基于角色的权限控制

    文章目录 RBAC: K8s基于角色的权限控制 ServiceAccount.Role.RoleBinding Step 1:创建一个ServiceAccount,指定namespace Step 2 ...

  3. 图文详解基于角色的权限控制模型RBAC

    我们开发一个系统,必然面临权限控制的问题,即不同的用户具有不同的访问.操作.数据权限.形成理论的权限控制模型有:自主访问控制(DAC: Discretionary Access Control).强制 ...

  4. webapi框架搭建-安全机制(四)-可配置的基于角色的权限控制

    webapi框架搭建系列博客 在上一篇的webapi框架搭建-安全机制(三)-简单的基于角色的权限控制,某个角色拥有哪些接口的权限是用硬编码的方式写在接口上的,如RBAuthorize(Roles = ...

  5. webapi框架搭建-安全机制(三)-简单的基于角色的权限控制

    webapi框架搭建系列博客 上一篇已经完成了“身份验证”,如果只是想简单的实现基于角色的权限管理,我们基本上不用写代码,微软已经提供了authorize特性,直接用就行. Authorize特性的使 ...

  6. SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 技术栈 : SpringBoot + shiro + jpa + freemark ,因为篇幅原因,这里只 ...

  7. devops-jenkins基于角色的权限管理RBAC

    一. devops-jenkins基于角色的权限管理RBAC 1 安装角色的rbac角色管理  1.1) 点击系统管理 1.2) 选择插件管理 1.3) 选择可选插件,输入role搜索 1.4) 选择 ...

  8. thinkphp基于角色的权限控制详解

    一.什么是RBAC 基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注. 在RBAC中,权限与角色相关联,用户通 ...

  9. Django 基于角色的权限控制

    有一种场景, 要求为用户赋予一个角色, 基于角色(比如后管理员,总编, 编辑), 用户拥有相应的权限(比如管理员拥有所有权限, 总编可以增删改查, 编辑只能增改, 有些页面的按钮也只有某些角色才能查看 ...

随机推荐

  1. Cocos2D-x-3.0 编译(Win7)

    版权声明:本文为博主原创文章.未经博主同意不得转载. https://blog.csdn.net/logotostudent/article/details/25425969 第一次開始用手游引擎挺激 ...

  2. [整理记录备忘] CentOS 7 相关记录

    CentOS 7 命令行模式安装GNOME.KDE图形界面 一.进入 root 模式 因为权限限制,所以我们需要进入 root 模式,开机使用 root 登陆或者系统运行中切换为 root 用户均可. ...

  3. 【题解】洛谷P1169 [ZJOI2007] 棋盘制作(坐标DP+悬线法)

    次元传送门:洛谷P1169 思路 浙江省选果然不一般 用到一个从来没有听过的算法 悬线法: 所谓悬线法 就是用一条线(长度任意)在矩阵中判断这条线能到达的最左边和最右边及这条线的长度 即可得到这个矩阵 ...

  4. centos下Zabbix Agent端部署和安装

    首先重复一下前面的规划 server端:  192.168.136.144    centos6.5 (虚拟机) agent端:    192.168.136.155    centos6.5( 虚拟 ...

  5. 不大于N的所有素数

    算法如下: #include<stdio.h> #include<math.h> void Sieve(int n) { int p,j,i; ],L[n+]; ;p<= ...

  6. 七、Delphi10.3读取JSON数组

    一.Delphi读取JSON数组是非常方便的,首先我们网上找一段JSON数据 { "error": 0, "status": "success&quo ...

  7. CTF-i春秋网鼎杯第四场部分writeup

    CTF-i春秋网鼎杯第四场部分writeup 因为我们组的比赛是在第四场,所以前两次都是群里扔过来几道题然后做,也不知道什么原因第三场的题目没人发,所以就没做,昨天打了第四场,简直是被虐着打. she ...

  8. uva 1590 - IP Networks(IP地址)

    习题4-5 IP网络(IP Networks, ACM/ICPC NEERC 2005, UVa1590) 可以用一个网络地址和一个子网掩码描述一个子网(即连续的IP地址范围).其中子网 掩码包含32 ...

  9. 使用uliweb创建一个简单的blog

    1.创建数据库 uliweb的数据库都在models.py文件里面,因此先创建该文件 vim apps/blog/models.py 添加如下两行: #coding=utf-8 from uliweb ...

  10. 20155234 2016-2017-2 《Java程序设计》第7周学习总结

    20155234 2016-2017-2 <Java程序设计>第7周学习总结 教材学习内容总结 第十二章 Lambda Lambda表达式会使程序更加地简洁,在平行设计的时候,能够进行并行 ...