k8s中的认证授权

目次
一、kubernetes API 访问控制
1.1 UserAccount与ServiceAccount
1.1.1 ServiceAccount
1.1.2 ServiceAccount示例
 二、认证(在k8s中创建认证用户)
2.1 创建UserAccount
 2.2 RBAC（Role Based Access Control）
2.2.1 基于脚色访问控制授权：
2.2.2 role授权实行
 2.2.3 clusterrole授权实行
 2.2.4 服务账户的自动化

---

一、kubernetes API 访问控制

Authentication（认证）

• 认证方式现共有8种，可以启用一种或多种认证方式，只要有一种认证方式通过，就不再进行别的方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。
  
• Kubernetes集群有两类用户：由Kubernetes管理的Service Accounts （服务账户）和（Users Accounts） 普通账户。k8s中账号的概念不是我们理解的账号，它并不真的存在，它只是形式上存在。
  

Authorization（授权）

• 必须经过认证阶段，才到授权请求，根据全部授权策略匹配请求资源属性，决定允许或拒绝请求。授权方式现共有6种，AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群逼迫开启RBAC。
  

Admission Control（准入控制）

• 用于拦截请求的一种方式，运行在认证、授权之后，是权限认证链上的最后一环，对请求API资源对象进行修改和校验。
  

1.1 UserAccount与ServiceAccount

• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的历程而言的。
  
• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的，未来的用户资源不会做 namespace 隔离， 服务账户是 namespace 隔离的。
  
• 集群的用户账户可能会从企业数据库进行同步，其创建需要特殊权限，并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量，允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。
  

1.1.1 ServiceAccount

• 服务账户控制器（Service account controller）
  
  
  
  • 服务账户管理器管理各命名空间下的服务账户
    
  • 每个活跃的命名空间下存在一个名为 “default” 的服务账户
    
  
  
• 服务账户准入控制器（Service account admission controller）
  
  
  
  • 相似pod中 ServiceAccount默认设为 default。
    
  • 保证 pod 所关联的 ServiceAccount 存在，否则拒绝该 pod。
    
  • 假如pod不包含ImagePullSecrets设置那么ServiceAccount中的ImagePullSecrets 被添加到pod中
    
  • 将挂载于 /var/run/secrets/kubernetes.io/serviceaccount 的 volumeSource 添加到 pod 下的每个容器中
    
  • 将一个包含用于 API 访问的 token 的 volume 添加到 pod 中
    
  
  

1.1.2 ServiceAccount示例

创建名字为admin的ServiceAccount

1. [root@k8s-master ~]# kubectl create sa xiaoding
2. serviceaccount/xiaoding created
3. [root@k8s-master ~]# kubectl describe sa xiaoding
4. Name:                xiaoding
5. Namespace:           default
6. Labels:              <none>
7. Annotations:         <none>
8. Image pull secrets:  <none>
9. Mountable secrets:   <none>
10. Tokens:              <none>
11. Events:              <none>
12. [root@k8s-master ~]#

复制代码

 创建secrets

1. [root@k8s-master ~]# kubectl create secret docker-registry docker-login --docker-username admin --docker-password 123456 --docker-server reg.timingding.org --docker-email ding@timingding.org
2. secret/docker-login created
3. [root@k8s-master ~]#
5. [root@k8s-master ~]# kubectl get secrets
6. NAME             TYPE                             DATA   AGE
7. auth-web         Opaque                           1      18h
8. docker-login     kubernetes.io/dockerconfigjson   1      81s
9. my-docker-auth   kubernetes.io/dockerconfigjson   1      16h
10. userlist         Opaque                           4      16h
11. web-tls-secret   kubernetes.io/tls                2      18h
12. [root@k8s-master ~]# kubectl describe secrets docker-login
13. Name:         docker-login
14. Namespace:    default
15. Labels:       <none>
16. Annotations:  <none>
18. Type:  kubernetes.io/dockerconfigjson
20. Data
21. ====
22. .dockerconfigjson:  129 bytes
23. [root@k8s-master ~]#

复制代码

 将secrets注入到sa中

1. 也可以直接指定到默认的default认证服务中
3. [root@k8s-master ~]# kubectl edit sa xiaoding
5. apiVersion: v1
6. imagePullSecrets:
7. - name: docker-login        #添加这个，让它读取我们创建的secrets的资源
8. kind: ServiceAccount
9. metadata:
10.   creationTimestamp: "2024-09-10T08:07:01Z"
11.   name: xiaoding
12.   namespace: default
13.   resourceVersion: "123878"
14.   uid: ba37d6ca-ecd7-4526-b957-b439c5e139c1
16. [root@k8s-master ~]# kubectl describe sa xiaoding
17. Name:                xiaoding
18. Namespace:           default
19. Labels:              <none>
20. Annotations:         <none>
21. Image pull secrets:  docker-login                #注入资源了
22. Mountable secrets:   <none>
23. Tokens:              <none>
24. Events:              <none>
25. [root@k8s-master ~]#

复制代码

 测试，拉取私有仓库中私有的镜像

1. 没有注sa认证的default：
2. [root@k8s-master ~]# kubectl run testpod --image reg.timingding.org/ding/nginx
3. pod/testpod created
5. 镜像拉取不到：
6. [root@k8s-master ~]# kubectl get pods
7. NAME      READY   STATUS             RESTARTS   AGE
8. testpod   0/1     ImagePullBackOff   0          8s
10. 给default注入sa：
11. [root@k8s-master ~]# kubectl edit sa default
12. apiVersion: v1
13. imagePullSecrets:                #添加创建的sa认证
14. - name: docker-login
15. kind: ServiceAccount
16. metadata:
17.   creationTimestamp: "2024-09-09T02:34:53Z"
18.   name: default
19.   namespace: default
20.   resourceVersion: "125663"
21.   uid: 4806e111-b158-4e0b-8b6f-efdc8b0f939c
23. 再次去拉取镜像使用：
24. [root@k8s-master ~]# kubectl run testpod --image reg.timingding.org/ding/nginx
25. pod/testpod created
27. 此时就可以拉取，并使用了：
28. [root@k8s-master ~]# kubectl get pods
29. NAME      READY   STATUS    RESTARTS   AGE
30. testpod   1/1     Running   0          4s
32. 取消认证之后又会拉取不到
34. 也可以在yaml文件中设定：
35. [root@k8s-master ~]# vim example1.yml
36. apiVersion: v1
37. kind: Pod
38. metadata:
39.   name: testpod
40. spec:
41.   serviceAccountName: xiaoding
42.   containers:
43.   - image: reg.timingding.org/ding/nginx:latest
44.     name: testpod
45.    
46. [root@k8s-master ~]# kubectl apply -f example1.yml
47. pod/testpod created
48. [root@k8s-master auth]# kubectl get pods
49. NAME      READY   STATUS    RESTARTS   AGE
50. testpod   1/1     Running   0          2s
52. 这样也是可以的

复制代码

 二、认证(在k8s中创建认证用户)

2.1 创建UserAccount

1. 查看有本身k8s中的用户:
2. [root@k8s-master ~]# kubectl config view
3. apiVersion: v1
4. clusters:
5. - cluster:
6.     certificate-authority-data: DATA+OMITTED
7.     server: https://172.25.254.100:6443
8.   name: kubernetes
9. contexts:
10. - context:
11.     cluster: kubernetes
12.     user: kubernetes-admin
13.   name: kubernetes-admin@kubernetes
14. current-context: kubernetes-admin@kubernetes
15. kind: Config
16. preferences: {}
17. users:
18. - name: kubernetes-admin
19.   user:
20.     client-certificate-data: DATA+OMITTED
21.     client-key-data: DATA+OMITTED
22. [root@k8s-master ~]#
24. k8s中的认证文件位置：
25. [root@k8s-master ~]# cd /etc/kubernetes/pki/
26. [root@k8s-master pki]# ls
27. apiserver.crt                 etcd
28. apiserver-etcd-client.crt     front-proxy-ca.crt
29. apiserver-etcd-client.key     front-proxy-ca.key
30. apiserver.key                 front-proxy-client.crt
31. apiserver-kubelet-client.crt  front-proxy-client.key
32. apiserver-kubelet-client.key  sa.key
33. ca.crt                        sa.pub
34. ca.key
35. [root@k8s-master pki]#
37. 建立认证key：
38. [root@k8s-master pki]# openssl genrsa -out timingding.key 2048
39. [root@k8s-master pki]#
41. 建立证书：
42. [root@k8s-master pki]# openssl req  -new -key timingding.key -out timingding.csr -subj "/CN=timingding"
43. [root@k8s-master pki]# openssl x509 -req  -in timingding.csr -CA ca.crt -CAkey ca.key -CAcreateserial  -out timingding.crt -days 365
44. Certificate request self-signature ok
45. subject=CN = timingding
46. [root@k8s-master pki]#
48. 查看证书：
49. [root@k8s-master pki]# openssl x509 -in timingding.crt -text -noout
51. #建立k8s中的用户
52. [root@k8s-master pki]# kubectl config set-credentials timingding --client-certificate /etc/kubernetes/pki/timingding.crt --client-key /etc/kubernetes/pki/timingding.key --embed-certs=true        #相当于把证书写到了 /etc/kubernetes/admin.conf里面
53. User "timingding" set.
54. [root@k8s-master pki]#
56. [root@k8s-master pki]# cat /etc/kubernetes/admin.conf
58. 现在就能看到你新创建的用户：
59. [root@k8s-master pki]# kubectl config view
60. apiVersion: v1
61. clusters:
62. - cluster:
63.     certificate-authority-data: DATA+OMITTED
64.     server: https://172.25.254.100:6443
65.   name: kubernetes
66. contexts:
67. - context:
68.     cluster: kubernetes
69.     user: kubernetes-admin
70.   name: kubernetes-admin@kubernetes
71. current-context: kubernetes-admin@kubernetes
72. kind: Config
73. preferences: {}
74. users:
75. - name: kubernetes-admin
76.   user:
77.     client-certificate-data: DATA+OMITTED
78.     client-key-data: DATA+OMITTED
79. - name: timingding
80.   user:
81.     client-certificate-data: DATA+OMITTED
82.     client-key-data: DATA+OMITTED
83. [root@k8s-master pki]#
85. 映射用户名，为用户名创建集群的安全上下文
86. [root@k8s-master pki]# kubectl config set-context timingding@kubernetes --cluster kubernetes --user timingding
87. Context "timingding@kubernetes" created.
88. [root@k8s-master pki]#
90. 切换用户，用户在集群中只有用户身份没有授权：
91. [root@k8s-master pki]# kubectl config use-context timingding@kubernetes
92. Switched to context "timingding@kubernetes".
93. [root@k8s-master pki]#
95. 现在看不到资源，因为还没用通过授权：
96. [root@k8s-master pki]# kubectl get pods
97. Error from server (Forbidden): pods is forbidden: User "timingding" cannot list resource "pods" in API group "" in the namespace "default"
98. [root@k8s-master pki]#

复制代码

 2.2 RBAC（Role Based Access Control）

2.2.1 基于脚色访问控制授权：

• 允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过脚色与权限进行关联。
  
• RBAC只有授权，没有拒绝授权，所以只需要界说允许该用户做什么即可
  
• RBAC的三个根本概念
  
  
  
  • Subject：被作用者，它表示k8s中的三类主体， user， group， serviceAccount
    
  
  

• Role：脚色，它其实是一组规则，界说了一组对 Kubernetes API 对象的操作权限。
  

• RoleBinding：界说了“被作用者”和“脚色”的绑定关系
  

• RBAC包罗四种类型：Role、ClusterRole、RoleBinding、ClusterRoleBinding
  
• Role 和 ClusterRole
  
  
  
  • Role是一系列的权限的集合，Role只能授予单个namespace 中资源的访问权限。
    
  
  

• ClusterRole 跟 Role 类似，但是可以在集群中全局使用。
  

• Kubernetes 还提供了四个预先界说好的 ClusterRole 来供用户直接使用
  

• cluster-amdin、admin、edit、view
  

2.2.2 role授权实行

1. [root@k8s-master ~]# kubectl create role myrole --dry-run=client --verb=get --resource pods -o yaml > myrole.yml
2. [root@k8s-master ~]#
3. [root@k8s-master ~]#
4. [root@k8s-master ~]# vim myrole.yml
6. apiVersion: rbac.authorization.k8s.io/v1
7. kind: Role
8. metadata:
9.   creationTimestamp: null
10.   name: myrole
11. rules:
12. - apiGroups:
13.   - ""
14.   resources:
15.   - pods
16.   verbs:
17.   - get
18.   - watch
19.   - list
20.   - create
21.   - update
22.   - path
23.   - delete
24.   
25. [root@k8s-master ~]# kubectl apply -f myrole.yml
26. role.rbac.authorization.k8s.io/myrole created
27. [root@k8s-master ~]# kubectl describe role myrole
28. Name:         myrole
29. Labels:       <none>
30. Annotations:  <none>
31. PolicyRule:
32.   Resources  Non-Resource URLs  Resource Names  Verbs
33.   ---------  -----------------  --------------  -----
34.   pods       []                 []              [get watch list create update path delete]
35. [root@k8s-master ~]
37. 建立角色绑定：
38. [root@k8s-master rbac]# kubectl create rolebinding timingding --role myrole --namespace default --user xiaoding --dry-run=client -o yaml > rolebinding-myrole.yml
39. [root@k8s-master rbac]#
40. [root@k8s-master rbac]# vim rolebinding-myrole.yml
42. apiVersion: rbac.authorization.k8s.io/v1
43. kind: RoleBinding
44. metadata:
45.   creationTimestamp: null
46.   name: timingding
47.   namespace: default                #角色绑定必须要指定namespace
48. roleRef:
49.   apiGroup: rbac.authorization.k8s.io
50.   kind: Role
51.   name: myrole
52. subjects:
53. - apiGroup: rbac.authorization.k8s.io
54.   kind: User
55.   name: timingding
57. [root@k8s-master rbac]# kubectl apply -f rolebinding-myrole.yml
58. rolebinding.rbac.authorization.k8s.io/xiaoding created
59. [root@k8s-master rbac]# kubectl get rolebindings.rbac.authorization.k8s.io xiaoding
60. NAME       ROLE          AGE
61. xiaoding   Role/myrole   14s
62. [root@k8s-master rbac]#
64. 切换用户测试授权：
65. [root@k8s-master rbac]# kubectl config use-context timingding@kubernetes
66. Switched to context "timingding@kubernetes".
67. [root@k8s-master rbac]# kubectl get pods
68. No resources found in default namespace.
69. [root@k8s-master rbac]#
71. 只授权了pod：
72. [root@k8s-master rbac]# kubectl run testpod --image myapp:v1
73. pod/testpod created
74. [root@k8s-master rbac]# kubectl get pods
75. NAME      READY   STATUS    RESTARTS   AGE
76. testpod   1/1     Running   0          6s
77. [root@k8s-master rbac]#

复制代码

 2.2.3 clusterrole授权实行

1. [root@k8s-master rbac]# kubectl create clusterrole myclusterrole --resource=deployment --verb get --dry-run=client -o yaml > myclusterrole.yml
2. [root@k8s-master rbac]#
3. [root@k8s-master rbac]#
4. [root@k8s-master rbac]#
5. [root@k8s-master rbac]# vim myclusterrole.yml
7. apiVersion: rbac.authorization.k8s.io/v1
8. kind: ClusterRole
9. metadata:
10.   creationTimestamp: null
11.   name: myclusterrole
12. rules:
13. - apiGroups:
14.   - apps
15.   resources:
16.   - deployments
17.   verbs:
18.   - get
19.   - list
20.   - watch
21.   - create
22.   - update
23.   - path
24.   - delete
25. - apiGroups:
26.   - ""
27.   resources:
28.   - pods
29.   verbs:
30.   - get
31.   - list
32.   - watch
33.   - create
34.   - update
35.   - path
36.   - delete
37.   
38. [root@k8s-master rbac]# kubectl apply -f myclusterrole.yml
39. clusterrole.rbac.authorization.k8s.io/myclusterrole created
40. [root@k8s-master rbac]# kubectl describe clusterrole myclusterrole
41. Name:         myclusterrole
42. Labels:       <none>
43. Annotations:  <none>
44. PolicyRule:
45.   Resources         Non-Resource URLs  Resource Names  Verbs
46.   ---------         -----------------  --------------  -----
47.   pods              []                 []              [get list watch create update path delete]
48.   deployments.apps  []                 []              [get list watch create update path delete]
49. [root@k8s-master rbac]#
51. 建立集群绑定角色：
52. [root@k8s-master rbac]# kubectl create clusterrolebinding  clusterrolebind-myclusterrole --clusterrole myclusterrole  --user timingding --dry-run=client -o yaml > clusterrolebind-myclusterrole.yml
53. [root@k8s-master rbac]# vim clusterrolebind-myclusterrole.yml
55. apiVersion: rbac.authorization.k8s.io/v1
56. kind: ClusterRoleBinding
57. metadata:
58.   creationTimestamp: null
59.   name: clusterrolebind-myclusterrole
60. roleRef:
61.   apiGroup: rbac.authorization.k8s.io
62.   kind: ClusterRole
63.   name: myclusterrole
64. subjects:
65. - apiGroup: rbac.authorization.k8s.io
66.   kind: User
67.   name: timingding
70. [root@k8s-master rbac]# kubectl describe clusterrolebindings.rbac.authorization.k8s.io clusterrolebind-myclusterrole
71. Name:         clusterrolebind-myclusterrole
72. Labels:       <none>
73. Annotations:  <none>
74. Role:
75.   Kind:  ClusterRole
76.   Name:  myclusterrole
77. Subjects:
78.   Kind  Name        Namespace
79.   ----  ----        ---------
80.   User  timingding  
81. [root@k8s-master rbac]#
83. 测试：
84. [root@k8s-master rbac]# kubectl config use-context timingding@kubernetes
85. Switched to context "timingding@kubernetes".
87. [root@k8s-master rbac]# kubectl get pods  -A
88. [root@k8s-master rbac]# kubectl get deployments.apps -A
89. [root@k8s-master rbac]# kubectl get svc -A
90. Error from server (Forbidden): services is forbidden: User "timingding" cannot list resource "services" in API group "" at the cluster scope
91. [root@k8s-master rbac]#
93. 切换为原来用户：
94. [root@k8s-master rbac]# kubectl config use-context kubernetes-admin@kubernetes
95. Switched to context "kubernetes-admin@kubernetes".
96. [root@k8s-master rbac]#

复制代码

资源回收：

1. 资源回收：
2. [root@k8s-master rbac]# ls
3. clusterrolebind-myclusterrole.yml  myclusterrole.yml  rolebinding-myrole.yml
4. [root@k8s-master rbac]# kubectl delete -f clusterrolebind-myclusterrole.yml
5. clusterrolebinding.rbac.authorization.k8s.io "clusterrolebind-myclusterrole" deleted
6. [root@k8s-master rbac]# kubectl delete -f myclusterrole.yml
7. clusterrole.rbac.authorization.k8s.io "myclusterrole" deleted
8. [root@k8s-master rbac]# kubectl delete -f rolebinding-myrole.yml
9. rolebinding.rbac.authorization.k8s.io "timingding" deleted
10. [root@k8s-master rbac]# cd
11. [root@k8s-master ~]# kubectl delete -f myrole.yml
12. role.rbac.authorization.k8s.io "myrole" deleted

复制代码

 2.2.4 服务账户的自动化

服务账户准入控制器（Service account admission controller）

• 假如该 pod 没有 ServiceAccount 设置，将其 ServiceAccount 设为 default。
  
• 保证 pod 所关联的 ServiceAccount 存在，否则拒绝该 pod。
  
• 假如 pod 不包含 ImagePullSecrets 设置，那么 将 ServiceAccount 中的 ImagePullSecrets 信息添加到 pod 中。
  
• 将一个包含用于 API 访问的 token 的 volume 添加到 pod 中。
  

• 将挂载于 /var/run/secrets/kubernetes.io/serviceaccount 的 volumeSource 添加到 pod 下的每个容器中。
  

服务账户控制器（Service account controller）
服务账户管理器管理各命名空间下的服务账户，并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。