如何测试Kubernetes RBAC?

简介: 建设Kubernetes集群的安全是一回事,而维护它也会越来越困难。幸运的是,Kubernetes引入的新特性使这两件事都变得容易起来。Kubernetes(从1.6版本)引入了基于角色的访问控制(RBAC),允许系统管理员定义策略来限制集群使用者的行为。
建设Kubernetes集群的安全是一回事,而维护它也会越来越困难。幸运的是,Kubernetes引入的新特性使这两件事都变得容易起来。

Kubernetes(从1.6版本)引入了基于角色的访问控制(RBAC),允许系统管理员定义策略来限制集群使用者的行为。这意外着创建有限访问权限的用户是可能的。它允许你限制如Secrets等资源的访问,或限制用户对某个命名空间的访问。

本文不会介绍如何实现RBAC,因为它已经有很多不错的详实的资料:



本文将聚集于怎样使你业务的合规性和需求得到切实满足。为此,我们需要测试被应用的RBAC对象,以确保它们像我们期望地那样工作。

我们的场景

某个组织有多组团队的人员,刚开始上手使用Kubernetes集群。这时要求一个团队不能去修改另一个团队的deployment,否则会导致不可预见的跨团队问题或停机。

负责Kubernetes deployment维护的平台团队最近在集群里部署了RBAC,它会将团队成员的访问限制在其对应的命名空间。首先,团队不能看到其它团队命名空间的Pod。

运行一周后,平台团队发现在一个被限制的命名空间的用户一直在读取其它命名空间的Secrets,但这是怎么做到的呢?他们没实现RBAC吗?

事实上,他们做了。但就像对代码一样,我们需要测试我们的系统来看它是否符合期望。庆幸的是,Kubernetes的命令行工具kubectl提供了测试RBAC配置的工具。 kubectl auth can-i

Can I?

can-i只是使用API检查是否某个操作可以被执行。它有以下选项 kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL] 现在可以检查当前用户是否可以执行某个操作。我们试一下:
kubectl auth can-i create pods

这会返回"yes"或"no"及相应的退出码。

但只要我们尝试测试另一用户的授权,就会碰到障碍。因为用以上指令,我们只能使用当前加载的./kube/config来测试。而每个用户一个文件是很不足取的。好在Kubernetes又提供了使用--as=和--as-group-来模拟用户的能力。

我们修改下指令,来模拟一个不同的用户:
kubectl auth can-i create pods --as=me

我们应该会看到它返回"no"和退出码1。

这很棒,我们现在有了一堆指令来测试一组用户或单个用户是否可以访问任何Kubernetes资源,不论是查看Pod列表还是删除Secrets。

自动化

但我们不要停下来,我们已经为实现一个可以描述需求列表的并且可集成到持续交付流水线的测试集铺平了道路,我们开始吧!

要实现自动化,我们有很多技术和编程语言的选择,从JavaScript里的Ava和Mocha到Rspec,这里,我将使用一个纯bash实现的测试框架,它叫 Bats

下面是一个例子,它测试一个团队命名空间的用户可以对其deployment做扩缩容。如果该文件设置了可执行权限,它可以像任何shell脚本一样执行,或通过 bats filename 来执行。
#!/usr/bin/env bats
@test "Team namespaces can scale deployments within their own namespace" {
run kubectl auth can-i update deployments.apps --subresource="scale" --as-group="$group" --as="$user" -n $ns
[ "$status" -eq 0 ]
[ "$output" == "yes" ]
done
} 

注意一下: --as --as-group 指令要求使用以下的RBAC规则:
rules:
- apiGroups:
- authorization.k8s.io
resources:
- selfsubjectaccessreviews
- selfsubjectrulesreviews
verbs:
- create

如上,你有了一个简单的测试Kubernetes RBAC规则的实现方法。将其集成到你的Kubernetes持续交付流水线中,我们就有了一个被验证过的更可靠的RBAC策略配置。这使得破坏策略的变化可以被及早发现。

本文转自DockOne-如何测试Kubernetes RBAC?

相关实践学习
深入解析Docker容器化技术
Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。Docker是世界领先的软件容器平台。开发人员利用Docker可以消除协作编码时“在我的机器上可正常工作”的问题。运维人员利用Docker可以在隔离容器中并行运行和管理应用,获得更好的计算密度。企业利用Docker可以构建敏捷的软件交付管道,以更快的速度、更高的安全性和可靠的信誉为Linux和Windows Server应用发布新功能。 在本套课程中,我们将全面的讲解Docker技术栈,从环境安装到容器、镜像操作以及生产环境如何部署开发的微服务应用。本课程由黑马程序员提供。     相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
Kubernetes Cloud Native 网络安全
云原生|kubernetes|CKA模拟测试-2022(1---10题)(一)
云原生|kubernetes|CKA模拟测试-2022(1---10题)(一)
276 0
|
12月前
|
Kubernetes Linux API
CentOS 7.6使用kubeadm部署k8s 1.17.2测试集群实战篇
该博客文章详细介绍了在CentOS 7.6操作系统上使用kubeadm工具部署kubernetes 1.17.2版本的测试集群的过程,包括主机环境准备、安装Docker、配置kubelet、初始化集群、添加节点、部署网络插件以及配置k8s node节点管理api server服务器。
301 0
CentOS 7.6使用kubeadm部署k8s 1.17.2测试集群实战篇
|
Kubernetes Go API
|
Kubernetes API 容器
kubernetes学习笔记之十:RBAC(二)
kubernetes学习笔记之十:RBAC(二)
|
Kubernetes 安全 API
在k8S中,Kubernetes RBAC及其特点(优势)是什么?
在k8S中,Kubernetes RBAC及其特点(优势)是什么?
|
Kubernetes 应用服务中间件 nginx
Kubernetes v1.12/v1.13 二进制部署集群(HTTPS+RBAC)
Kubernetes v1.12/v1.13 二进制部署集群(HTTPS+RBAC)
|
Kubernetes Cloud Native 应用服务中间件
云原生|kubernetes|k8s集群测试时的一些基本操作
云原生|kubernetes|k8s集群测试时的一些基本操作
222 0
|
Kubernetes Cloud Native API
猿创征文|云原生|kubernetes学习之RBAC(六)
猿创征文|云原生|kubernetes学习之RBAC(六)
104 0
|
Kubernetes 安全 测试技术
k8s-CKS真题-CIS基准测试与安全扫描
k8s-CKS真题-CIS基准测试与安全扫描
138 0
|
3月前
|
Java 测试技术 容器
Jmeter工具使用:HTTP接口性能测试实战
希望这篇文章能够帮助你初步理解如何使用JMeter进行HTTP接口性能测试,有兴趣的话,你可以研究更多关于JMeter的内容。记住,只有理解并掌握了这些工具,你才能充分利用它们发挥其应有的价值。+
643 23

热门文章

最新文章

推荐镜像

更多