奈学百万云原生架构师

爱共享 爱生活 加油 2021

百度网盘

提取码：qhhv 

 

简介

本文将介绍Kubernetes基于角色的访问控制（RBAC）API对象，以及两个常见的用例（建立具备受限访问权限的用户、POD内经过service account访问api）。在本文的最后，您应该具备足够的知识来在集群中使用RBAC策略。

从Kubernetes 1.6版本起，系统默认启用RBAC策略。 RBAC策略对于正确管理群集相当重要，由于它们使您能够根据用户及其在组织中的角色来指定容许的操做类型。包括：

• 经过仅向管理员用户授予特权操做（例如访问机密）来保护集群。
  在集群中强制用户认证。
• 将资源建立（例如pod，持久卷，部署）限制为特定的名称空间。您还可使用配额来确保资源使用受到限制并受到控制。
• 让用户仅在其受权的名称空间中查看资源。这使您能够隔离组织内的资源（例如，部门之间）。
• 因为默认启用了RBAC，所以在配置网络（例如flanneld）或使Helm时，您可能会看到相似这样的错误：

the server does not allow access to the requested resource

本文将向您展现如何使用RBAC，以便您能够正确处理此类问题。

准备工做

为了充分的了解本文，建议您有一套完整的Kubernetes环境，并能按咱们的步骤完成整个过程，环境要求以下：

• Kubernetes 1.6以上版本，1.6前的版本，须要手动启用RBAC，若是您是在本机用minikube安装kubernetes，命令行以下：

minikube start --extra-config=apiserver.Authorization.Mode=RBAC

• 安装kubectl命令行工具。
• 安装了OpenSSL。

RBAC API 对象

Kubernetes的一项基本功能是其全部资源都是模型化的API对象，该对象容许进行CRUD（建立，读取，更新，删除）操做。 资源包括：

• Pods.
• PersistentVolumes.
• ConfigMaps.
• Deployments.
• Nodes.
• Secrets.
• Namespaces.

这些资源上可能的操做示例以下：

• create
• get
• delete
• list
• update
• edit
• watch
• exec

在更高级别上，资源与API Group(API组)相关联（例如，Pod属于核心API group，而Deployment属于apps API group）。 有关全部可用资源，操做和API组的更多信息。

为了在Kubernetes中管理RBAC，除了资源和操做外，咱们还须要理解如下概念：

• Rules：规则是能够对属于不一样API组的一组资源执行的一组操做。
• Roles 和 ClusterRoles: 二者都是规则。 Role和ClusterRole之间的区别在于范围：在Role中，规则只适用于单个命名空间（namespace），而ClusterRole则适用于整个群集，所以Role适用于多个命名空间。 ClusterRoles还可为集群范围内的资源（例如节点）定义规则。 Role和ClusterRoles都映射为集群内的API资源。
• Subjects:这些对应于尝试在集群中进行操做的实体。共有三种类型的主题：
• User Accounts（用户账户）：这些是全局账户，用于集群外部的用户或程序。 Kubernetes集群中没有关联的资源API对象。
• Service Accounts（服务账户）：此账户是和命名空间相关的，适用于在Pod内部运行的进程，这些进程须要调用API时进行身份验证。
• Groups（组）：用于引用多个账户，默认状况下会建立一些组，例如cluster-admin（在后面的部分中进行说明）。
• RoleBindings 和 ClusterRoleBindings: 就像名称的意思，这些将Subjects绑定到角色（即给定用户能够执行的操做）。RoleBinding将使规则在命名空间内有效，而ClusterRoleBinding将使规则在全部命名空间内有效。

您能够在Kubernetes官方文档中找到每一个API元素的示例。

示例1: 建立一个新的用户，从远程访问kubernetes集群

在此示例中，咱们将为“开发组（development）”的"cjzhao"用户建立一个独享的命名空间(cjns),并从远程服务器访问集群，主要包括如下对象：

• Username: cjzhao
• Group: development
• Namespace: cjns

咱们将添加必要的RBAC策略，以便用户cjzhao仅在cjns命名空间内便可彻底管理deployment（即便用kubectl run命令）。 最后，咱们将测试这些策略以确保它们按预期工做。

建立namespace

执行kubectl create命令建立命名空间（以admin用户身份）：

kubectl create namespace cjns

建立用户凭证（User Credentials）

Kubernetes没有用于用户账户的API。 这里咱们使用OpenSSL证书（更多的认证方式请参见Kubernetes官方文档）来管理身份验证，具体步骤以下：

在kubernetes管控节点（或管理员机器）上执行下面操做

• 为您的用户建立一个私钥。在此示例中，咱们将文件命名为cjzhao.key：

openssl genrsa -out cjzhao.key 2048

• 使用您刚建立的私钥（cjzhao.key）建立证书签名请求cjzhao.csr。 确保在-subj部分中指定用户名和组（CN表示用户名，O表示用户组）。 如前所述，咱们将使用cjzhao做为名称，使用development做为用户组：

openssl req -new -key cjzhao.key -out cjzhao.csr -subj "/CN=cjzhao/O=development"

• 找到您的Kubernetes群集证书颁发机构（CA）文件。 这将负责批准请求并生成访问群集API所需的证书。 它的位置一般在/etc/kubernetes/pki /目录下。 对于Minikube，它在〜/.minikube/。 检查目录下是否存在ca.crt和ca.key文件，并将它们拷贝到当前目录。

• 经过批准您以前提出的证书签名请求cjzhao.csr来生成最终的证书cjzhao.crt，设置证书有效期为500天，执行以下命令：

openssl x509 -req -in cjzhao.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out cjzhao.crt -days 500

• 将cjzhao.crt、cjzhao.key、ca.crt几个文件打包拷贝到新的机器。

在新的机器上执行下面操做

• 在安装了kubectl命令行工具的新的机器上解压上一步中打包的文件，执行以下命令，配置kubernetes集群、用户凭据等信息：

//配置集群
kubectl config set-cluster MyK8sCluster --server=https://your_server_ip:6443 --certificate-authority=./ca.crt
//配置用户信息
kubectl config set-credentials cjzhao --client-certificate=./cjzhao.crt --client-key=./cjzhao.key
//配置上文（将用户和集群绑定）
kubectl config set-context cjzhao-context --cluster=yourcluster --namespace=cjns --user=cjzhao

配置完成后执行以下命令：

kubectl config use-context cjzhao-context

kubectl get pods

您将看到会报下面的错：

Error from server (Forbidden): pods is forbidden: User "cjzhao" cannot list resource "pods" in API group "" in the namespace "cjns"

建立用户角色来管理Deployments

• 使用如下内容建立一个role-deployment-manager.yaml文件。 在此yaml文件中，咱们建立规则容许用户在Deployments，Pods和ReplicaSets对象（建立Deployment所必需）上执行多个操做，这些操做属于核心（在yaml文件中用“”表示），应用apps和扩展extensions API组：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: cjns
  name: deployment-manager
rules:
  - apiGroups: \["", "extensions", "apps"\]
    resources: \["deployments", "replicasets", "pods"\]
    verbs: \["get", "list", "watch", "create", "update", "patch", "delete"\] \# You can also use \["\*"\]

使用kubectl create命令在集群中建立Role：

kubectl create -f role-deployment-manager.yaml

将用户cjzhao和角色绑定

使用如下内容建立一个rolebinding-deployment-manager.yaml文件。 在此文件中，咱们将角色绑定到cjns命名空间内的用户cjzhao：

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: deployment-manager-binding
  namespace: cjns
subjects:
  - kind: User
    name: cjzhao
    apiGroup: ""
roleRef:
  kind: Role
  name: deployment-manager
  apiGroup: ""

经过运行kubectl create命令部署RoleBinding：

kubectl create -f rolebinding-deployment-manager.yaml

测试RBAC规则

在新的机器上执行下面的命令建立一个deployment:

kubectl create deployment --image nginx myng

执行下面的命令查看建立结果：

kubectl get pods

能够看到正在运行的pod。

为了验证cjzhao的权限是不是限定在cjns命名空间，咱们执行下面的命令：

kubectl get pods -n default

结果以下：

Error from server (Forbidden): pods is forbidden: User "cjzhao" cannot list resource "pods" in API group "" in the namespace "default"

说明相关的用户权限配置成功。