kubernetes访问控制

一、简介

kubernetes API 访问控制主要分为三个部分：
认证
授权
准入控制
Authentication（认证）
• 认证方式现共有8种，可以启用一种或多种认证方式，只要有一种认证方式通过，就不再
进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。
• Kubernetes集群有两类用户：由Kubernetes管理的Service Accounts （服务账户）和
（Users Accounts） 普通账户。k8s中账号的概念不是我们理解的账号，它并不真的存在，
它只是形式上存在。
UserAccount与ServiceAccount：
• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的，未来的用户资源不会做 namespace 隔离， 服务账户是 namespace 隔离的。
• 通常情况下，集群的用户账户可能会从企业数据库进行同步，其创建需要特殊权限，并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量，允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。
Authorization（授权）
• 必须经过认证阶段，才到授权请求，根据所有授权策略匹配请求资源属性，决定允许或拒
绝请求。授权方式现共有6种，AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、
Node。默认集群强制开启RBAC。
Admission Control（准入控制）
• 用于拦截请求的一种方式，运行在认证、授权之后，是权限认证链上的最后一环，对请求
API资源对象进行修改和校验。
官方提供了8种认证的方式，授权方式默认使用RBAC
访问k8s的API Server的客户端主要分为两类：
• kubectl ：用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息，这样当用kubectl访问k8s时，它就会自动读取该配置文件，向API Server发起认证，然后完成操作请求。
• pod：Pod中的进程需要访问API Server，如果是人去访问或编写的脚本去访问，这类访问
使用的账号为：UserAccount；而Pod自身去连接API Server时，使用的账号是：
ServiceAccount，生产中后者使用居多。
kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作：
可以通过创建proxy的方式访问
以上两种api的区别是：
• api它是一个特殊链接,只有在核心v1群组中的对象才能使用。
• apis 它是一般API访问的入口固定格式名。

二、访问控制的设置

1、创建serviceaccount
2、添加secrets到serviceaccount中

3、把serviceaccount和pod绑定起来：将认证信息添加到serviceAccount中，要比直接在Pod指定imagePullSecrets要安全很多。
4、创建UserAccount
这个目录中有很多重要的文件，一般不做改动
生成test.key
生成证书请求
生成证书
以上生成了test相关的key和证书
使得集群识别刚才生成的证书
此时用户通过认证，但还没有权限操作集群资源，需要继续添加授权。

三、RBAC（Role Based Access Control）：基于角色访问控制授权

• 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联。
• RBAC只有授权，没有拒绝授权，所以只需要定义允许该用户做什么即可。
• RBAC包括四种类型：Role、ClusterRole、RoleBinding、ClusterRoleBinding
RBAC的三个基本概念：
• Subject：被作用者，它表示k8s中的三类主体， user， group， serviceAccount
• Role：角色，它其实是一组规则，定义了一组对 Kubernetes API 对象的操作权限。
• RoleBinding：定义了“被作用者”和“角色”的绑定关系。
Role 和 ClusterRole
• Role是一系列的权限的集合，Role只能授予单个namespace 中资源的访问权限。
• ClusterRole 跟 Role 类似，但是可以在集群中全局使用。
一个示例：
切换到test用户也可以对pod进行操作
切换namespace就不行了，因为前面的绑定是对单个namespace（default）进行绑定的，不能跨namespace
而且以上的资源只是针对pod，对于其他的资源也是没有权限的
添加clusterrole并且使用rolebinding绑定clusterRole。但此时仍然只能在单一namespace中生效
此时切换到test用户可以看到default中的相关资源，但是不能跨namespace
创建clusterrolebinding
此时可以跨namespace，但是只对pod和deployment生效，其他资源不生效

四、准入控制

服务账户的自动化
• 服务账户准入控制器（Service account admission controller）
• 如果该 pod 没有 ServiceAccount 设置，将其 ServiceAccount 设为 default。
• 保证 pod 所关联的 ServiceAccount 存在，否则拒绝该 pod。
• 如果 pod 不包含 ImagePullSecrets 设置，那么 将 ServiceAccount 中的ImagePullSecrets 信息添加到 pod 中。
• 将一个包含用于 API 访问的 token 的 volume 添加到 pod 中。
• 将挂载于 /var/run/secrets/kubernetes.io/serviceaccount 的 volumeSource 添加到pod 下的每个容器中。
Token 控制器（Token controller）
• 检测服务账户的创建，并且创建相应的 Secret 以支持 API 访问。
• 检测服务账户的删除，并且删除所有相应的服务账户 Token Secret。
• 检测 Secret 的增加，保证相应的服务账户存在，如有需要，为 Secret 增加 token。
• 检测 Secret 的删除，如有需要，从相应的服务账户中移除引用。
服务账户控制器（Service account controller）
• 服务账户管理器管理各命名空间下的服务账户，并且保证每个活跃的命名空间下存在
一个名为 “default” 的服务账户
Kubernetes 还拥有“用户组”（Group）的概念：
• ServiceAccount对应内置“用户”的名字是：
• system:serviceaccount:
• 而用户组所对应的内置名字是：
• system:serviceaccounts:
示例1：表示mynamespace中的所有ServiceAccount

subjects:
- kind: Group
  name: system:serviceaccounts:mynamespace
  apiGroup: rbac.authorization.k8s.io

示例2：表示整个系统中的所有ServiceAccount

subjects:
- kind: Group
  name: system:serviceaccounts
  apiGroup: rbac.authorization.k8s.io

Kubernetes 还提供了四个预先定义好的 ClusterRole 来供用户直接使用：
• cluster-amdin
• admin
• edit
• view