企业入门实战--k8s之kubernetes访问控制

企业入门实战--k8s之kubernetes访问控制

  • k8s访问控制
    • API访问、认证与授权
    • RBAC–基于角色访问控制授权

k8s访问控制

Authentication(认证)
认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。

Kubernetes集群有两类用户:由Kubernetes管理的Service Accounts (服务账户)和(Users Accounts) 普通账户。k8s中账号的概念不是我们理解的账号,它并不真的存在,它只是形式上存在。

Authorization(授权)
必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性,决定允许或拒绝请求。授权方式现共有6种,AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。

Admission Control(准入控制)
用于拦截请求的一种方式,运行在认证、授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验。

企业入门实战--k8s之kubernetes访问控制_第1张图片
企业入门实战--k8s之kubernetes访问控制_第2张图片

API访问、认证与授权

访问k8s的API Server的客户端主要分为两类:
kubectl :用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息,这样当用kubectl访问k8s时,它就会自动读取该配置文件,向API Server发起认证,然后完成操作请求。
pod:Pod中的进程需要访问API Server,如果是人去访问或编写的脚本去访问,这类访问使用的账号为:UserAccount;而Pod自身去连接API Server时,使用的账号是:ServiceAccount,生产中后者使用居多。

kubectl向apiserver发起的命令,采用的是http方式,其实就是对URL发起增删改查的操作
访问api端口为8888 ,并打入后台

kubectl  proxy --port=8888 &
curl http://localhost:8888/api/v1/namespaces/default


请添加图片描述
企业入门实战--k8s之kubernetes访问控制_第3张图片

curl http://localhost:8888/apis/apps/v1/namespaces/default/deployments

企业入门实战--k8s之kubernetes访问控制_第4张图片
测试完成,将后台进程关闭
fg打开后台进程,然后ctrl+c结束进程。请添加图片描述
UserAccount与serviceaccount:
用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。

创建serviceaccount:

kubectl create serviceaccount admin
kubectl describe sa admin

企业入门实战--k8s之kubernetes访问控制_第5张图片

企业入门实战--k8s之kubernetes访问控制_第6张图片
查看之前的myregistrykey是否存在

kubectl get secret

企业入门实战--k8s之kubernetes访问控制_第7张图片
添加secrets到serviceaccount的default镜像拉取中

kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

查看sa admin的更改后信息,可以看到 默认镜像拉取密钥已更改

kubectl describe sa admin

企业入门实战--k8s之kubernetes访问控制_第8张图片
把serviceaccount和pod绑定起来

vim registry.yaml

apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: game2048
image: reg.westos.org/westos/game2048:latest
imagePullSecrets:
- name: myregistrykey
serviceAccountName: admin

将认证信息添加到serviceAccount中,要比直接在Pod指定imagePullSecrets要安全很多。
拉起资源清单,查看节点

kubectl apply -f registry.yaml
kubectl get pod

请添加图片描述
查看节点详细信息,可以看到详细serviceAccount信息

kubectl describe pod mypod

企业入门实战--k8s之kubernetes访问控制_第9张图片
创建UserAccount
进入认证文件夹进行操作

cd /etc/kubernetes/pki/

企业入门实战--k8s之kubernetes访问控制_第10张图片
生成密钥和认证

openssl genrsa -out test.key 2048
openssl req -new -key test.key -out test.csr -subj "/CN=test"
openssl  x509 -req -in test.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out test.crt -days 365
openssl x509 -in test.crt -text -noout

企业入门实战--k8s之kubernetes访问控制_第11张图片
企业入门实战--k8s之kubernetes访问控制_第12张图片
设定test User使用认证

kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true
kubectl  config view ## 查看view权限具体操作


企业入门实战--k8s之kubernetes访问控制_第13张图片

创建test Useracccount

kubectl config set-context test@kubernetes --cluster=kubernetes --user=test

请添加图片描述
切换到test User

kubectl config use-context test@kubernetes
kubectl  get pod

请添加图片描述
报错原因:此时用户通过认证,但没有授予操作集群资源的权限,需要继续加权。
切换到初始admin User

kubectl config use-context kubernetes-admin@kubernetes

请添加图片描述

RBAC–基于角色访问控制授权

RBAC(Role Based Access Control):基于角色访问控制授权。
允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联。
RBAC只有授权,没有拒绝授权,所以只需要定义允许该用户做什么即可。
RBAC包括四种类型:Role、ClusterRole、RoleBinding、ClusterRoleBinding。
企业入门实战--k8s之kubernetes访问控制_第14张图片
创建工作目录

mkdir roles
cd roles/

编写Role示例

vim role.yaml

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: default
name: myrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]

如果所示,授予myrole角色pod节点的增删改查所有权限。

拉起角色并查看

kubectl apply -f role.yaml
kubectl get role

企业入门实战--k8s之kubernetes访问控制_第15张图片

查看角色详细信息

kubectl describe role myrole

企业入门实战--k8s之kubernetes访问控制_第16张图片
创建RoleBinding示例:

vim rolebinding.yaml

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default
subjects:
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: myrole
  apiGroup: rbac.authorization.k8s.io

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebind-myclusterrole
  namespace:  default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test


拉起清单并查看

kubectl apply -f rolebinding.yaml
kubectl get rolebindings.rbac.authorization.k8s.io


请添加图片描述
切换到test User,测试是否能查看pod

kubectl config use-context test@kubernetes
kubectl get pod


请添加图片描述
默认查看pod属于ns中的default,查看别的namespace则需要集群角色授权,切换到默认admin进行授权。

kubectl get pod -n kube-system
kubectl config use-context kubernetes-admin@kubernetes


请添加图片描述
创建集群角色ClusterRole示例:

vim clusterrole.yaml

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: myclusterrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
resources: ["deployments"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

拉起清单,查看集群角色是否创建

kubectl apply -f clusterrole.yaml
kubectl get clusterrole |grep mycluster


企业入门实战--k8s之kubernetes访问控制_第17张图片

集群角色绑定rolebinding

vim rolebinding.yaml

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: test-read-pods
namespace: default
subjects:
- kind: User
name: test
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: myrole
apiGroup: rbac.authorization.k8s.io
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: rolebind-myclusterrole
namespace:
default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: User
name: test

拉起清单,进入test进行测试

kubectl apply -f rolebinding.yaml
kubectl config use-context test@kubernetes
kubectl get deployments.apps

企业入门实战--k8s之kubernetes访问控制_第18张图片
同样集群角色也有集群绑定方法,
创建clusterrolebinding:

vim clusterbinding.yaml

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: myclusterrole
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list", "delete", "create", "update"]
- apiGroups: ["extensions", "apps"]
resources: ["deployments"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
- apiGroups: [""]
resources: ["services","endpoints"]
verbs: ["get", "list", "watch", "create" , "delete"]

拉起资源清单,查看绑定集群角色后的权限

kubectl apply -f clusterbinding.yaml
kubectl config use-context test@kubernetes
kubectl get pod -n kube-system

```![请添加图片描述](https://img-blog.csdnimg.cn/e2f12c09d47e40d0b08c4065cf96dfb0.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU3MTE3NzYz,size_16,color_FFFFFF,t_70)


你可能感兴趣的:(企业入门实战,k8s,运维,kubernetes)