认识RBAC
RBAC(基于角色的访问控制)是一种将权限分配给用户和服务的方法,基于他们的角色来确定他们可以访问和修改的资源。K8s使用RBAC作为来访请求鉴权的机制之一。
场景:访问K8s接口时的认证和鉴权
某些场景下,我们需要与K8s API Server交互,以获取或变更集群中资源的状态。我们知道,访问K8s API Server是需要认证,鉴权,准入控制,审计四个步骤的。
其中认证(password,Service account token,X509 客户端证书认证),鉴权(节点授权,RBAC,ABAC)的信息需要客户端在请求中携带。因此,为了请求K8s API,首先我们需要从K8s获取认证,鉴权信息。K8s为我们准备了这样一份信息: kubeconfig file。该文件在每一个可正常执行kubectl的K8s节点机的/root/.kube/config。获取这个文件后,我们可以使用如下样例代码列举K8s特定命名空间中的所有deployments:
from kubernetes import client, configdef list_deployments(namespace):# Load the kubeconfig fileconfig.load_kube_config('/root/.kube/config')# Create an instance of the API classapps_v1 = client.AppsV1Api()print(f"Listing deployments in namespace: {namespace}")# List deploymentsdeployments = apps_v1.list_namespaced_deployment(namespace)for deployment in deployments.items:print(deployment.metadata.name)# Replace 'your_namespace' with the desired namespace
list_deployments('your_namespace')
通过这种方式获取访问K8s所需的认证,鉴权信息方便有效。不过有安全隐患,在后面的章节我们会通过分析这个文件的内容,解析安全隐患在哪里。在此之前,需先了解K8s RBAC(Role Based Access Control)的基础知识。
RBAC中的resource和verb
RBAC中resource是可以被操作的资源对象,verbs是操作的动作。
#resource
pods,nodes,deployments,service
#verbs
create, delete, get, list, patch, watch
通过下面的命令可以查看K8s中的资源和对应的动作
kubectl api-resources -o wide
RBAC中的role
Role定义了对resource做什么verb。
# 删除Pods
Delete Pods
# 更新Service
patch Service
以下Role描述文件定义了该role能够对"deployments", “statefulsets"进行"get”, “watch”, “list”, “patch”, “update”
apiVersion: rbac.authorization.k8s.io/v1
## 这里也可以使用 Role
kind: ClusterRole
metadata:name: deploy-cluster-role
rules:
- apiGroups: ["apps"]resources: ["deployments", "statefulsets"]verbs: ["get", "watch", "list", "patch", "update"]
RBAC中的ServiceAccount
以下yaml创建一个ServiceAccount(testapp)。绑定该ServiceAccount的应用使用该身份与K8s集群进行交互。
apiVersion: v1
kind: ServiceAccount
metadata:name: testapp# change to desired namespacenamespace: default
RBAC中的RoleBinding
RoleBinding将ServiceAccount绑定到Role上。表示应用对资源的操作。
以下yaml把Role:deploy-cluster-role绑定到ServiceAccount:testApp上
apiVersion: rbac.authorization.k8s.io/v1
## 这里也可以使用 RoleBinding
kind: ClusterRoleBinding
metadata:name: deploy-role-binding
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: deploy-cluster-role
subjects:
- kind: ServiceAccountname: testappnamespace: default
小结
至此了解了RBAC的基本元素Resource,Verb,Role,ServiceAccount,RoleBinding。并了解了这些概念在K8s中的落地。下篇我们介绍具体的实践。
