K8S鉴权
访问K8S集群的资源需要过三关:认证、鉴权、准入控制
普通用户若要安全访问集群API Server(6443端口),往往需要证书、 Token或者用户名+密码;如果是访问Pod访问,需要ServiceAccount
K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段 都支持插件方式,通过API Server配置来启用插件。 1. Authentication(鉴权) 2. Authorization(授权) 3. Admission Control(准入控制)
三种客户端身份认证:
• HTTPS 证书认证:基于CA证书签名的数字证书认证
• HTTP Token认证:通过一个Token来识别用户
• HTTP Base认证:用户名+密码的方式认证
K8S授权
RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作,就是k8s会确认你是否有权限做相应的操作
RBAC可以根据以下API请求属性,决定允许还是拒绝
• user:用户名
• group:用户分组
• extra:用户额外信息
• API
• 请求路径:例如/api,/healthz
• API请求方法:get,list,create,update,patch,watch,delete
• HTTP请求方法:get,post,put,delete
• 资源
• 子资源
• 命名空间
• API组
准入控制
Adminssion Control实际上是一个准入控制器插件列表,发送到API Server的请求都需要经过这个列表中的每个准入控制器 插件的检查,检查不通过,则拒绝请求
使用RBAC授权
RBAC(Role-Based Access Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略
角色
Role:授权特定命名空间的访问权限
ClusterRole:授权所有命名空间的访问权限
角色绑定
RoleBinding:将角色绑定到主体(即subject)
ClusterRoleBinding:将集群角色绑定到主体
如果角色是Role就用RoleBinding绑定,如果是ClusterRole,就用ClusterRoleBinding 绑定
主体(subject)
User:用户
Group:用户组
ServiceAccount:服务账号
如何使用RBAC授权
示例:为aliang用户授权default命名空间Pod读取权限,分为三步
1. 用K8S CA签发客户端证书
2. 生成kubeconfig授权文件
3. 创建RBAC权限策略
cert.sh文件内容
cat > ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "87600h" } } } } EOF cat > aliang-csr.json <<EOF { # 用户名 "CN": "aliang", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { # CN表示单个用户,O表示用户组,生成用户组就不用每个用户都去授权 "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] } EOF # 注意ca证书的两个目录需要更改 cfssl gencert -ca=/opt/kubernetes/ssl/ca.pem -ca-key=/opt/kubernetes/ssl/ca-key.pem -config=ca-config.js,on -profile=kubernetes aliang-csr.json | cfssljson -bare aliang
第一步:更改好对应的数据后,使用bash cert.sh执行,会生成用户名开头的两个*.pem文件,这个就是主体
kubeconfig.sh文件内容
kubectl config set-cluster kubernetes \ # ca证书目录 --certificate-authority=/opt/kubernetes/ssl/ca.pem \ --embed-certs=true \ --server=https://192.168.22.129:6443 \ --kubeconfig=aliang.kubeconfig # 设置客户端认证 kubectl config set-credentials aliang \ --client-key=aliang-key.pem \ --client-certificate=aliang.pem \ --embed-certs=true \ --kubeconfig=aliang.kubeconfig # 设置默认上下文 kubectl config set-context kubernetes \ --cluster=kubernetes \ --user=aliang \ --kubeconfig=aliang.kubeconfig # 设置当前使用配置 kubectl config use-context kubernetes --kubeconfig=aliang.kubeconfig
第二步:修完好对应数据后,使用bash kubeconfig.sh执行,生成{用户名}.kubeconfig文件
rbac.yaml文件内容
# 授权特定命名空间的访问权限 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: # 指定命名空间 namespace: default name: pod-reader # 指定只能对pod进行get watch list操作 rules: - apiGroups: [""] # 后面一般需要加上s resources: ["pods"] verbs: ["get", "watch", "list"] --- # 角色绑定 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: read-pods namespace: default subjects: # 指定主体,如果是用户组kind就是Group,name就是组名 - kind: User name: aliang apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io
第三步:修改好对应数据后,执行kubectl apply -f rbac.yaml