K8S鑒權
訪問K8S集群的資源需要過三關:認證、鑒權、准入控制
普通用戶若要安全訪問集群API Server(6443端口),往往需要證書、 Token或者用戶名+密碼;如果是訪問Pod訪問,需要ServiceAccount
K8S安全控制框架主要由下面3個階段進行控制,每一個階段 都支持插件方式,通過API Server配置來啟用插件。 1. Authentication(鑒權) 2. Authorization(授權) 3. Admission Control(准入控制)
三種客戶端身份認證:
• HTTPS 證書認證:基於CA證書簽名的數字證書認證
• HTTP Token認證:通過一個Token來識別用戶
• HTTP Base認證:用戶名+密碼的方式認證
K8S授權
RBAC(Role-Based Access Control,基於角色的訪問控制):負責完成授權(Authorization)工作,就是k8s會確認你是否有權限做相應的操作
RBAC可以根據以下API請求屬性,決定允許還是拒絕
• user:用戶名
• group:用戶分組
• extra:用戶額外信息
• API
• 請求路徑:例如/api,/healthz
• API請求方法:get,list,create,update,patch,watch,delete
• HTTP請求方法:get,post,put,delete
• 資源
• 子資源
• 命名空間
• API組
准入控制
Adminssion Control實際上是一個准入控制器插件列表,發送到API Server的請求都需要經過這個列表中的每個准入控制器 插件的檢查,檢查不通過,則拒絕請求
使用RBAC授權
RBAC(Role-Based Access Control,基於角色的訪問控制),允許通過Kubernetes API動態配置策略
角色
Role:授權特定命名空間的訪問權限
ClusterRole:授權所有命名空間的訪問權限
角色綁定
RoleBinding:將角色綁定到主體(即subject)
ClusterRoleBinding:將集群角色綁定到主體
如果角色是Role就用RoleBinding綁定,如果是ClusterRole,就用ClusterRoleBinding 綁定
主體(subject)
User:用戶
Group:用戶組
ServiceAccount:服務賬號
如何使用RBAC授權
示例:為aliang用戶授權default命名空間Pod讀取權限,分為三步
1. 用K8S CA簽發客戶端證書
2. 生成kubeconfig授權文件
3. 創建RBAC權限策略
cert.sh文件內容
cat > ca-config.json <<EOF { "signing": { "default": { "expiry": "87600h" }, "profiles": { "kubernetes": { "usages": [ "signing", "key encipherment", "server auth", "client auth" ], "expiry": "87600h" } } } } EOF cat > aliang-csr.json <<EOF { # 用戶名 "CN": "aliang", "hosts": [], "key": { "algo": "rsa", "size": 2048 }, "names": [ { # CN表示單個用戶,O表示用戶組,生成用戶組就不用每個用戶都去授權 "C": "CN", "ST": "BeiJing", "L": "BeiJing", "O": "k8s", "OU": "System" } ] } EOF # 注意ca證書的兩個目錄需要更改 cfssl gencert -ca=/opt/kubernetes/ssl/ca.pem -ca-key=/opt/kubernetes/ssl/ca-key.pem -config=ca-config.js,on -profile=kubernetes aliang-csr.json | cfssljson -bare aliang
第一步:更改好對應的數據后,使用bash cert.sh執行,會生成用戶名開頭的兩個*.pem文件,這個就是主體
kubeconfig.sh文件內容
kubectl config set-cluster kubernetes \ # ca證書目錄 --certificate-authority=/opt/kubernetes/ssl/ca.pem \ --embed-certs=true \ --server=https://192.168.22.129:6443 \ --kubeconfig=aliang.kubeconfig # 設置客戶端認證 kubectl config set-credentials aliang \ --client-key=aliang-key.pem \ --client-certificate=aliang.pem \ --embed-certs=true \ --kubeconfig=aliang.kubeconfig # 設置默認上下文 kubectl config set-context kubernetes \ --cluster=kubernetes \ --user=aliang \ --kubeconfig=aliang.kubeconfig # 設置當前使用配置 kubectl config use-context kubernetes --kubeconfig=aliang.kubeconfig
第二步:修完好對應數據后,使用bash kubeconfig.sh執行,生成{用戶名}.kubeconfig文件
rbac.yaml文件內容
# 授權特定命名空間的訪問權限 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: # 指定命名空間 namespace: default name: pod-reader # 指定只能對pod進行get watch list操作 rules: - apiGroups: [""] # 后面一般需要加上s resources: ["pods"] verbs: ["get", "watch", "list"] --- # 角色綁定 kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: read-pods namespace: default subjects: # 指定主體,如果是用戶組kind就是Group,name就是組名 - kind: User name: aliang apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io
第三步:修改好對應數據后,執行kubectl apply -f rbac.yaml