访问K8S集群的资源需要过三关:认证、鉴权、准入控制
普通用户若要安全访问集群API
Server,往往需要证书
、Token
或者用户名+密码
;Pod访问,需要 ServiceAccount
K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。
1.Authentication(鉴权)
2.Authorization(授权)
3.Admission Control(准入控制)
三种客户端身份认证:
上述第一种:
apiserver http接口:https通信
RBAC(Role-Based Access
Control,基于角色的访问控制):负责完成授权(Authorization)工作。
根据API请求属性,决定允许还是拒绝。
AdminssionControl实际上是一个准入控制器插件列表,发送到APIServer的请求都需要经过这个列表中的每个准入控制器插件的检查,检查不通过,则拒绝请求。
准入控制:
RBAC(Role-Based Access
Control,基于角色的访问控制),允许通过Kubernetes API动态配置策略。
•RoleBinding:将角色绑定到主体(即subject)
•ClusterRoleBinding:将集群角色绑定到主体
为aliang用户授权default命名空间Pod读取权限
图片解释:当给apiserver发起一个请求时,apiserver会查看校验x509格式的证书,从中提取用户名和组,然后匹配当前创建的RBAC规则,看能不能满足现在发起的请求,如果不满足的话直接拒绝请求
cert.sh
cat > ca-config.json <<EOF
{
"signing": {
"default": {
"expiry": "87600h"
},
"profiles": {
"kubernetes": {
"usages": [
"signing",
"key encipherment",
"server auth",
"client auth"
],
"expiry": "87600h"
}
}
}
}
EOF
cat > aliang-csr.json <<EOF
{
"CN": "aliang",
"hosts": [],
"key": {
"algo": "rsa",
"size": 2048
},
"names": [
{
"C": "CN",
"ST": "BeiJing",
"L": "BeiJing",
"O": "k8s",
"OU": "System"
}
]
}
EOF
cfssl gencert -ca=/etc/kubernetes/pki/ca.crt -ca-key=/etc/kubernetes/pki/ca.key -config=ca-config.json -profile=kubernetes aliang-csr.json | cfssljson -bare aliang
参数解释:
ca-config.json :ca配置文件
aliang-csr.json:证书请求文件
CN: 用户名
O:用户组
若是二进制部署的k8s集群,请注意证书路径!!!
kubeconfig.sh
kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true \
--server=https://192.168.0.7:6443 \
--kubeconfig=aliang.kubeconfig
# 设置客户端认证
kubectl config set-credentials aliang \
--client-key=aliang-key.pem \
--client-certificate=aliang.pem \
--embed-certs=true \
--kubeconfig=aliang.kubeconfig
# 设置默认上下文
kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=aliang \
--kubeconfig=aliang.kubeconfig
# 设置当前使用配置
kubectl config use-context kubernetes \
--kubeconfig=aliang.kubeconfig
192.168.0.7指的是master节点的IP,不能随意指定
aliang.kubeconfig
内容格式与~/.kube/config
一致
此时,使用kubectl --kubeconfig=aliang.kubeconfig get pod
还是没有权限访问pod的,因为还需要创建RBAC权限策略
#定义role角色,权限组:
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: default
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list"]
---
#创建角色绑定,声明主体:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
namespace: default
subjects:
- kind: User
name: aliang
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io
参数解释:
resources:可以访问的资源(后面需使用复数形式)
verbs:操作资源的方法
若想新增其他权限,请参看官方文档:使用 RBAC 鉴权,即时生效
apply过后既可以使用kubectl --kubeconfig=aliang.kubeconfig get pod
访问pod了,但其余的资源比如svc,指定命名空间或者是删除pod也无权访问。
“The first 90% of the code accounts for the first 90% of the development time. The remaining 10% of the code accounts for the other 90% of the development time.” – Tom Cargill
标 题:Kubernetes安全框架(上)-RBAC