引言

在Kubernetes(K8s)中,权限管理是确保集群安全性和合规性的关键组成部分。Role-Based Access Control(RBAC)是K8s中使用最广泛的权限管理模型之一,它允许管理员定义和控制用户、服务账户等实体对于资源的访问权限。本文将深入探讨K8s中的RBAC模型,包括其基本概念、核心组件、使用方法以及详细示例。

RBAC基本概念

角色(Role)

角色是RBAC的基本单元,用于定义对资源的一组权限。角色是独立于命名空间的,可以在整个集群范围内使用。

角色绑定(RoleBinding)

角色绑定用于将角色与用户、服务账户等实体绑定在一起,赋予其相应的权限。通过角色绑定,可以实现将某个用户或服务账户与特定的权限关联起来。

集群角色(ClusterRole)

集群角色与角色类似,但作用于整个集群,而不是单个命名空间。它允许定义对集群级别资源的权限。

集群角色绑定(ClusterRoleBinding)

与角色绑定类似,集群角色绑定用于将集群角色与用户、服务账户等实体绑定在一起,赋予其在整个集群中的权限。

RBAC核心组件

Role

以下是一个简单的Role定义的示例,该Role允许用户对Pod进行get和list操作:

1
2
3
4
5
6
7
8
9
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]

RoleBinding

创建RoleBinding将用户绑定到上述Role:

1
2
3
4
5
6
7
8
9
10
11
12
13
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: "john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

ClusterRole

以下是一个简单的ClusterRole定义的示例,该ClusterRole允许用户对Nodes进行get操作:

1
2
3
4
5
6
7
8
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: node-reader
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get"]

ClusterRoleBinding

创建ClusterRoleBinding将用户绑定到上述ClusterRole:

1
2
3
4
5
6
7
8
9
10
11
12
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-nodes
subjects:
- kind: User
  name: "john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: node-reader
  apiGroup: rbac.authorization.k8s.io

RBAC的使用方法

创建Role和RoleBinding

首先,创建一个Role,定义资源和权限:

1
2
3
4
5
6
7
8
9
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]

接下来,创建一个RoleBinding,将用户绑定到上述Role:

1
2
3
4
5
6
7
8
9
10
11
12
13
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: "john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

创建ClusterRole和ClusterRoleBinding

创建一个ClusterRole,定义对Nodes资源的权限:

1
2
3
4
5
6
7
8
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: node-reader
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get"]

创建一个ClusterRoleBinding,将用户绑定到上述ClusterRole:

1
2
3
4
5
6
7
8
9
10
11
12
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: read-nodes
subjects:
- kind: User
  name: "john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: node-reader
  apiGroup: rbac.authorization.k8s.io

RBAC示例演示

假设我们有一个Pod,其定义如下:

1
2
3
4
5
6
7
8
9
apiVersion: v1
kind: Pod
metadata:
  name: nginx-pod
  namespace: default
spec:
  containers:
  - name: nginx
    image: nginx

使用上述创建的Role和RoleBinding,用户john将具有get和list的权限:

1
2
3
# 使用用户john的身份验证
kubectl auth can-i get pods --as john
kubectl auth can-i list pods --as john

同样,使用创建的ClusterRole和ClusterRoleBinding,用户john将具有对Nodes资源的get权限:

1
2
# 使用用户john的身份验证
kubectl auth can-i get nodes --as john

通过以上示例,我们演示了如何使用RBAC在Kubernetes中定义和控制用户对资源的权限。RBAC通过细粒度的访问控制,有力地保护了Kubernetes集群中的资源,确保了集群的安全性和合规性。

结论

通过本文,我们深入了解了Kubernetes中权限管理模型RBAC的基本概念、核心组件,并通过详细的示例演示了如何创建Role、RoleBinding、ClusterRole和ClusterRoleBinding,以及如何验证用户对资源的权限。RBAC是Kubernetes中一个强大而灵活的权限管理工具,可以根据实际需求为不同用户和服务账户分配适当的权限,确保了集群的安全性。在实际使用中,需要根据集群规模和业务需求,合理设计和配置RBAC规则,以达到最佳的安全实践。