3、k8s集群安全-授权
授权模式/机制/策略
通过API Server的启动参数 --authorization-mode 来设置。
可以指定多个授权模式 --authorization-mode=Node,RBCA,Webhook
多个模式按指定顺序对请求进行授权,每当一个模式拒绝请求时,请求会被转至下一个模式,直至用户授权完成,不再执行之后的授权模式
NODE授权:节点授权,用于kubelet向api server汇报节点状况使用 System Node组 只处理节点请求?
ABAC(Attribute-Based Access Control):基于属性的访问控制,将一个用户或一组用户与权限相关联,只要有新用户就要关联权限
RBAC(Role-Based Access Control):基于角色的访问控制,将角色与一组权限向关联,用户和角色相关联,即用户属于这个角色
Webhook,通过于第三方工具,将k8s的用户和权限的请求传给第三方工具,让其决定是否赋予权限。通过调用外部REST服务对用户进行授权
AlwaysDeny:拒绝所有请求,一般用于测试
AlwayAllow:允许所有请求,而不执行授权检查
RBAC资源对象说明
Role
* 一个角色就是一组权限的集合,这里的权限都是许可形式的,不存在拒绝的规则。
* 角色(Role)的授权范围是名称空间(namespace)。
ClusterRole
* 集群角色除了具有和角色一致的命名空间内资源的管理能力,因其集群级别的范围,还可以用于以下特殊元素的授权。
* 集群范围的资源,例如Node。
* 非资源型的路径,例如“/healthz”。
* 包含全部命名空间的资源,例如pods(用于kubectl get pods --all-namespaces这样的操作授权)。
* 集群角色(ClusterRole)授权范围是整个kubernetes集群(即所有的名称空间)。
RoleBinding 和 ClusterRoleBinding
* 角色绑定(RoleBinding)或集群角色绑定(ClusterRoleBinding)用来把一个角色绑定到一个目标上,绑定目标可以是User(用户)、Group(组)或Service Account。
* 使用RoleBinding为某个命名空间授权。
* 使用ClusterRoleBinding为集群范围内授权。
* User(用户)和Group(组)是对kubenetes使用者(即是对人的)进行授权,Service Account是对pod进行授权。
语法:
kubectl create rolebinding NAME --clusterrole=NAME|--role=NAME [--user=username] [--group=groupname] [--serviceaccount=namespace:serviceaccountname]
#--group=证书签署请求中O的值
#--user=证书签署请求中CN的值(如果多个user属于同一个group,绑定(rolebinding)group的时候,其组内的所有user都会被授权)
* RoleBinding可以引用Role,只对一个名称空间生效。
* RoleBinding也可以引用ClusterRole,对属于同一命名空间内ClusterRole定义的资源主体进行授权。一种常见的做法是集群管理员为集群范围预先定义好一组ClusterRole,然后在多个命名空间中重复使用这些ClusterRole。
* ClusterRoleBinding只能引用ClusterRole,用于进行集群级别或者对所有命名空间都生效的授权。
resource、role、rolebinding之间的关系
kubectl get roles
kubectl get rolebingings
查看用户是否可以访问特定资源
kubectl auth can-i create deployments --as dev-user
kubectl auth can-i delete nodes --as dev-user
kubectl auth can-i delete pods --as dev-user --namespace test
kubectl create role developer --verb=list,create,delete --resource=pods
创建Role
developer-role.yaml
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: developer # 角色命名,为开发人员创建的角色
namespace: default
rules:
- apiGroups: [""] # 支持的API组列表,空白表示核心组
resources: ["pods"] # 支持的资源对象列表角色可以访问的资源是pod
verbs: ["get", "watch", "list"] # 对资源对象的操作方法列表,例如get、watch、list、delete、replace、patch等
resourceNames: [ "blue","orange" ] # 指定某个具体的资源名称
- apiGroups: [""]
resources: ["ConfigMap"]
verbs: ["create"]
创建ClusterRole
cluser和cluserrolebingding作用于集群资源
可以为命名空间资源创建cluster角色,用户可以访问所有命名空间中的这些资源
cluster-admin-role.yaml
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: cluser-administrator
rules:
- apiGroups: [""] # 表示核心组
resources: ["nodes"]
verbs: ["get", "create", "list"]
RoleBinding引用Role进行授权
* 下面的例子中的RoleBinding将在default命名空间中把pods_role角色授予用户user_name,这一操作可以让user_name读取default命名空间中的Pod:
]# kubectl create rolebinding rolebinding-pods_role --role=pods_role --user=user_name -n default --dry-run=client -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: rolebinding-pods_role
namespace: default
roleRef:
#"roleRef"指定与某Role或ClusterRole的绑定关系
apiGroup: rbac.authorization.k8s.io
kind: Role #此字段必须是Role或ClusterRole
name: pods_role #此字段必须与你要绑定的Role或ClusterRole的名称匹配
subjects:
#你可以指定不止一个“subject(主体)”
#Subjects可以是user、group、service account
#user和group可以是数字、字符串、email,前缀为 system: 的是系统保留,创建时避免使用
- apiGroup: rbac.authorization.k8s.io
kind: User
name: user_name #"user_name"是区分大小写的
RoleBinding引用ClusterRole进行授权
* 例如,在下面的例子中,虽然secrets_clusterrole是一个集群角色,但是因为使用了RoleBinding,所以user_name只能读取default命名空间中的secret:
]# kubectl create rolebinding rolebinding-secrets_clusterrole --clusterrole=secrets_clusterrole --user=user_name -n default --dry-run=client -o yaml
apiVersion: rbac.authorization.k8s.io/v1
#此角色绑定使得用户"user_name"能够读取"default"名字空间中的Secrets
kind: RoleBinding
metadata:
name: rolebinding-secrets_clusterrole
#RoleBinding的名称空间决定了访问权限的授予范围。
#这里隐含授权仅在"default"名字空间内的访问权限。
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: secrets_clusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: user_name #'user_name'是区分大小写的
ClusterRoleBinding引用ClusterRole进行授权
* 下面的例子允许用户user_name读取任意Namespace中的secret:
]# kubectl create clusterrolebinding clusterrolebinding-secrets_clusterrole --clusterrole=secrets_clusterrole --user=user_name -n default --dry-run=client -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: clusterrolebinding-secrets_clusterrole
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: secrets_clusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: user_name
命名空间资源&集群资源
命名空间资源
pods rs jobs deployments services secrets roles rolebingdings configmaps pvc
集群资源
nodes pv clusterroles clusterrolebindings certificatesigningrequests namespaces
查看某资源是否是命名空间资源
kubectl api-resources --namespaced=ture
kubectl api-resources --namespaced=false
对资源的引用方式
resources对一类资源进行授权
* 在Kubernetes API中,大多数资源都是使用对象名称的字符串表示来呈现与访问的,例如,对于Pod应使用"pods"。但有一些Kubernetes API涉及子资源(subresource),例如Pod的log,对Pod日志的请求url是GET /api/v1/namespaces/{namespace}/pods/{name}/log。
* 在RBAC角色表达资源时,使用对应API端点的URL中的名字来引用资源。
* 在RBAC角色表达子资源时,使用斜线(/)来分隔资源和子资源("资源/子资源")。
示例:
* pods对应名称空间的Pod资源,而log是pods的子资源。允许某主体能同时够读取Pod和Pod log。
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: default
name: pod-and-pod-logs-reader
rules:
- apiGroups: [""]
resources: ["pods", "pods/log"] #!
verbs: ["get", "list"]
ResourceName对某个资源实例进行授权
* 资源还可以通过资源名字(ResourceName)进行引用。在指定ResourceName后,使用get、delete、update和patch动词的请求,就会被限制在这个资源实例范围内。
* 注意:
* 不能使用资源名字(ResourceName)来限制create或者deletecollection请求。对于create请求而言,这是因为在鉴权时可能还不知道新对象的名字。
* 如果使用资源名字(ResourceName)来限制list或者watch请求,客户端必须在它们的list或者watch请求里包含一个与指定的resourceName匹配的metadata.name字段选择器。例如,kubectl get configmaps --field-selector=metadata.name=my-configmap
示例:
* 某主体只能对一个ConFigmap进行get和update操作。
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: default
name: configmap-updater
rules:
- apiGroups: [""]
# 在HTT 层面,用来访问ConfigMap的资源的名称为"configmaps"
resources: ["configmaps"]
resourceNames: ["my-configmap"] #!
verbs: ["update", "get"]
查看集群角色(clusterrole)admin
* 包含所有的资源
kubectl get clusterrole admin -o yaml