1、基本概念
RBAC(Role-Based Access Control,基于角色的访问控制)在k8s v1.5中引入,在v1.6版本时升级为Beta版本,并成为kubeadm安装方式下的默认选项,相对于其他访问控制方式,新的RBAC具有如下优势:
- 对集群中的资源和非资源权限均有完整的覆盖
整个RBAC完全由几个API对象完成,同其他API对象一样,可以用kubectl或API进行操作
可以在运行时进行调整,无需重启API Server
要使用RBAC授权模式,需要在API Server的启动参数中加上--authorization-mode=RBAC
2、RBAC原理和用法
2.1 RBAC的API资源对象说明
RBAC引入了4个新的顶级资源对象:Role、ClusterRole、RoleBinding、ClusterRoleBinding。同其他API资源对象一样,用户可以使用kubectl或者API调用等方式操作这些资源对象。
- 角色(Role)
一个角色就是一组权限的集合,这里的权限都是许可形式的,不存在拒绝的规则。在一个命名空间中,可以用角色来定义一个角色,如果是集群级别的,就需要使用ClusterRole了。
角色只能对命名空间内的资源进行授权,下面的例子中定义的角色具备读取Pod的权限:
kind: Role apiVersion: rbac.authorization.k8s.io/v1betal metadata: namespace: default name: pod-reader rules: - apiGroups: [""] # 空字符串表示核心API群 resource: ["pods"] verbs: ["get", "watch", "list"]
rules中的参数说明:
- apiGroup:支持的API组列表,例如:APIVersion: batch/v1、APIVersion: extensions:v1betal、apiVersion:apps/v1betal等
resources:支持的资源对象列表,例如:pods、deployments、jobs等
verbs:对资源对象的操作方法列表,例如:get、watch、list、delete、replace、patch等
- 集群角色(ClusterRole)
集群角色除了具有和角色一致的命名空间内资源的管理能力,因其集群级别的范围,还可以用于以下特殊元素的授权。
- 集群范围的资源,例如Node
非资源型的路径,例如/healthz
包含全部命名空间的资源,例如pods
下面的集群角色可以让用户有权访问任意一个或所有命名空间的secrets:
kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1betal metadata:
# name: secret-reader # ClusterRole不受限于命名空间,所以省略了namespace name的定义 rules: - apiGroups: [""] resources: ["secrets"] verbs: ["get", "watch", "list"]
- 角色绑定(RoleBinding)和集群角色绑定(ClusterRoleBinding)
角色绑定或集群角色绑定用来把一个角色绑定到一个目标上,绑定目标可以是User、Group或者Service Account。使用RoleBinding为某个命名空间授权,ClusterRoleBinding为集群范围内授权。
RoleBinding可以引用Role进行授权,下例中的RoleBinding将在default命名空间中把pod-reader角色授予用户jane,可以让jane用户读取default命名空间的Pod:
kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1betal metadata: name: read-pods namespace: default subjects: - kind: User name: jane apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io
RoleBinding也可以引用ClusterRole,对属于同一命名空间内ClusterRole定义的资源主体进行授权。一种常见的做法是集群管理员为集群范围预先定义好一组角色(ClusterRole),然后在多个命名空间中重复使用这些ClusterRole。
使用RoleBinding绑定集群角色secret-reader,使dave只能读取development命名空间中的secret:
