Kubernetes必备知识: Kubernetes RBAC-阿里云开发者社区

开发者社区> 阿里云术语库> 正文

Kubernetes必备知识: Kubernetes RBAC

简介: 基于角色的访问控制(Role-Based Access Control, 即”RBAC”)使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。

所属技术领域:

Kubernetes

|名词定义|

基于角色的访问控制(Role-Based Access Control, 即”RBAC”)使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。

|技术特点|

RBAC
策略包含主体(subject)、动作(verb)、资源(resource)和命名空间(namespace)
-User A can create pods in namespace B
默认拒绝所有访问: deny all
Cannot:
--不能绑定到namespace中的一个具体的object
--不能绑定到指定资源的任意一个fields
Can:
--可以对subresources进行绑定(比如nodes/status)
 RBAC-Role
Role对象只能用于授予对某一namespace中资源的访问权限。
以下示例表示在“default” namespace中定义一个Role对象,用于授予对资源pods的读访问权限,绑定到该Role的用户则具有get/watch/list pod资源的权限:
图片.png

图片.png

 RBAC-RoleBinding
RoleBinding可以将同一namespace中的subject(用户)绑定到某个具有特定权限的Role下,则此subject即具有该Role定义的权限。
下面示例中定义的RoleBinding对象在”default” namespace中将”pod-reader”角色授予用户”Caden”。 这一授权将允许用户”Caden”从”default” namespace中读取pod。
图片.png
图片.png

 RBAC-ClusterRole
ClusterRole对象可以授予整个集群范围内资源访问权限, 也可以对以下几种资源的授予访问权限:
• 集群范围资源(例如节点,即node)
• 非资源类型endpoint(例如”/healthz”)
• 跨所有namespaces的范围资源(例如pod,需要运行命令kubectl get pods --all-namespaces来查询集群中所有的pod)
图片.png

图片.png

 RBAC-ClusterRoleBinding
ClusterRoleBinding在整个集群级别和所有namespaces将特定的subject与ClusterRole绑定,授予权限。
下面示例中所定义的ClusterRoleBinding 允许在用户组”pods-reader”中的任何用户都可以读取集群中任何namespace中的pods。
图片.png
图片.png

 RABC-Default ClusterRolbinding
syatem:basic-user:未认证用户组(group system:unauthenticated)的默认角色,不具备任何的操作权限
cluster-admin:system:masters组默认的集群角色绑定,通过绑定cluster-admin clusterrole,具备集群所有资源的所有操作权限
图片.png

集群系统组件都有默认的clusterrolebingding,包括kube-controller-manager,kube-scheduler,kube-proxy
图片.png

 相关命令行工具
获取并查看Role/ClusterRole/RoleBinding/ClusterRoleBinding的信息
• kubectl get role -n kube-system
查看kube-system namespace下的所有role
kubectl get role -n kube-system -o yaml
查看某个role定义的资源权限
• kubectl get rolebinding -n kube-system
查看kube-system namespace下所有的rolebinding
kubectl get rolebinding -n kube-system -o yaml
查看kube-system namespace下的某个rolebinding详细信息(绑定的Role和subject)
• kubectl get clusterrole
查看集群所有的clusterrole
kubectl get clusterrole -o yaml
查看某个clusterrole定义的资源权限详细信息
• kubectl get clusterrolebinding
查看所有的clusterrolebinding
kubectl get clusterrolebinding -o yaml
查看某一clusterrolebinding的详细信息
有两个kubectl命令可以用于在命名空间内或者整个集群内授予角色。
• kubectl create rolebinding
在某一特定名字空间内授予Role或者ClusterRole。示例如下:
a) 在名为”acme”的名字空间中将admin ClusterRole授予用户”bob”:
kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme
b) 在名为”acme”的名字空间中将view ClusterRole授予服务账户”myapp”:
kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme
• kubectl create clusterrolebinding
在整个集群中授予ClusterRole,包括所有名字空间。示例如下:
a) 在整个集群范围内将cluster-admin ClusterRole授予用户”root”:
kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root
b) 在整个集群范围内将system:node ClusterRole授予用户”kubelet”:
kubectl create clusterrolebinding kubelet-node-binding --clusterrole=system:node --user=kubelet
c) 在整个集群范围内将view ClusterRole授予名字空间”acme”内的服务账户”myapp”:
kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp

|资料来源|

名词定义:https://www.jianshu.com/p/9991f189495f
技术特点:https://www.jianshu.com/p/9991f189495f

版权声明:本文中所有内容均属于阿里云开发者社区所有,任何媒体、网站或个人未经阿里云开发者社区协议授权不得转载、链接、转贴或以其他方式复制发布/发表。申请授权请邮件developerteam@list.alibaba-inc.com,已获得阿里云开发者社区协议授权的媒体、网站,在转载使用时必须注明"稿件来源:阿里云开发者社区,原文作者姓名",违者本社区将依法追究责任。 如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

阿里云术语库提供术语的标准定义、缩略语、术语用法及多语言等,提供术语的增删改查等功能。

官方博客
官网链接