所属技术领域:
Kubernetes
|名词定义|
基于角色的访问控制(Role-Based Access Control, 即”RBAC”)使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。
|技术特点|
RBAC
策略包含主体(subject)、动作(verb)、资源(resource)和命名空间(namespace)
-User A can create pods in namespace B
默认拒绝所有访问: deny all
Cannot:
--不能绑定到namespace中的一个具体的object
--不能绑定到指定资源的任意一个fields
Can:
--可以对subresources进行绑定(比如nodes/status)
RBAC-Role
Role对象只能用于授予对某一namespace中资源的访问权限。
以下示例表示在“default” namespace中定义一个Role对象,用于授予对资源pods的读访问权限,绑定到该Role的用户则具有get/watch/list pod资源的权限:
RBAC-RoleBinding
RoleBinding可以将同一namespace中的subject(用户)绑定到某个具有特定权限的Role下,则此subject即具有该Role定义的权限。
下面示例中定义的RoleBinding对象在”default” namespace中将”pod-reader”角色授予用户”Caden”。 这一授权将允许用户”Caden”从”default” namespace中读取pod。
RBAC-ClusterRole
ClusterRole对象可以授予整个集群范围内资源访问权限, 也可以对以下几种资源的授予访问权限:
• 集群范围资源(例如节点,即node)
• 非资源类型endpoint(例如”/healthz”)
• 跨所有namespaces的范围资源(例如pod,需要运行命令kubectl get pods --all-namespaces来查询集群中所有的pod)
RBAC-ClusterRoleBinding
ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject与ClusterRole绑定,授予权限。
下面示例中所定义的ClusterRoleBinding 允许在用户组”pods-reader”中的任何用户都可以读取集群中任何namespace中的pods。
RABC-Default ClusterRolbinding
syatem:basic-user:未认证用户组(group system:unauthenticated)的默认角色,不具备任何的操作权限
cluster-admin:system:masters组默认的集群角色绑定,通过绑定cluster-admin clusterrole,具备集群所有资源的所有操作权限
集群系统组件都有默认的clusterrolebingding,包括kube-controller-manager,kube-scheduler,kube-proxy
相关命令行工具
获取并查看Role/ClusterRole/RoleBinding/ClusterRoleBinding的信息
• kubectl get role -n kube-system
查看kube-system namespace下的所有role
kubectl get role -n kube-system -o yaml
查看某个role定义的资源权限
• kubectl get rolebinding -n kube-system
查看kube-system namespace下所有的rolebinding
kubectl get rolebinding -n kube-system -o yaml
查看kube-system namespace下的某个rolebinding详细信息(绑定的Role和subject)
• kubectl get clusterrole
查看集群所有的clusterrole
kubectl get clusterrole -o yaml
查看某个clusterrole定义的资源权限详细信息
• kubectl get clusterrolebinding
查看所有的clusterrolebinding
kubectl get clusterrolebinding -o yaml
查看某一clusterrolebinding的详细信息
有两个kubectl命令可以用于在命名空间内或者整个集群内授予角色。
• kubectl create rolebinding
在某一特定名字空间内授予Role或者ClusterRole。示例如下:
a) 在名为”acme”的名字空间中将admin ClusterRole授予用户”bob”:
kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme
b) 在名为”acme”的名字空间中将view ClusterRole授予服务账户”myapp”:
kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme
• kubectl create clusterrolebinding
在整个集群中授予ClusterRole,包括所有名字空间。示例如下:
a) 在整个集群范围内将cluster-admin ClusterRole授予用户”root”:
kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root
b) 在整个集群范围内将system:node ClusterRole授予用户”kubelet”:
kubectl create clusterrolebinding kubelet-node-binding --clusterrole=system:node --user=kubelet
c) 在整个集群范围内将view ClusterRole授予名字空间”acme”内的服务账户”myapp”:
kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp
|资料来源|
名词定义:https://www.jianshu.com/p/9991f189495f
技术特点:https://www.jianshu.com/p/9991f189495f
