K8S学习指南(33)-k8s权限管理模型RBAC

引言

在Kubernetes（K8s）中，权限管理是确保集群安全性和合规性的关键组成部分。Role-Based Access Control（RBAC）是K8s中使用最广泛的权限管理模型之一，它允许管理员定义和控制用户、服务账户等实体对于资源的访问权限。本文将深入探讨K8s中的RBAC模型，包括其基本概念、核心组件、使用方法以及详细示例。

RBAC基本概念

1. 角色（Role）

角色是RBAC的基本单元，用于定义对资源的一组权限。角色是独立于命名空间的，可以在整个集群范围内使用。

2. 角色绑定（RoleBinding）

角色绑定用于将角色与用户、服务账户等实体绑定在一起，赋予其相应的权限。通过角色绑定，可以实现将某个用户或服务账户与特定的权限关联起来。

3. 集群角色（ClusterRole）

集群角色与角色类似，但作用于整个集群，而不是单个命名空间。它允许定义对集群级别资源的权限。

4. 集群角色绑定（ClusterRoleBinding）

与角色绑定类似，集群角色绑定用于将集群角色与用户、服务账户等实体绑定在一起，赋予其在整个集群中的权限。

RBAC核心组件

1. Role

以下是一个简单的Role定义的示例，该Role允许用户对Pod进行get和list操作：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]

2. RoleBinding

创建RoleBinding将用户绑定到上述Role：

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: "john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

3. ClusterRole

以下是一个简单的ClusterRole定义的示例，该ClusterRole允许用户对Nodes进行get操作：

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: node-reader
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get"]

4. ClusterRoleBinding

创建ClusterRoleBinding将用户绑定到上述ClusterRole：

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-nodes
subjects:
- kind: User
  name: "john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: node-reader
  apiGroup: rbac.authorization.k8s.io

RBAC的使用方法

1. 创建Role和RoleBinding

首先，创建一个Role，定义资源和权限：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]

接下来，创建一个RoleBinding，将用户绑定到上述Role：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: "john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

2. 创建ClusterRole和ClusterRoleBinding

创建一个ClusterRole，定义对Nodes资源的权限：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: node-reader
rules:
- apiGroups: [""]
  resources: ["nodes"]
  verbs: ["get"]

创建一个ClusterRoleBinding，将用户绑定到上述ClusterRole：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: read-nodes
subjects:
- kind: User
  name: "john"
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: node-reader
  apiGroup: rbac.authorization.k8s.io

RBAC示例演示

假设我们有一个Pod，其定义如下：

apiVersion: v1
kind: Pod
metadata:
  name: nginx-pod
  namespace: default
spec:
  containers:
  - name: nginx
    image: nginx

使用上述创建的Role和RoleBinding，用户john将具有get和list的权限：

# 使用用户john的身份验证
kubectl auth can-i get pods --as john
kubectl auth can-i list pods --as john

同样，使用创建的ClusterRole和ClusterRoleBinding，用户john将具有对Nodes资源的get权限：

# 使用用户john的身份验证
kubectl auth can-i get nodes --as john

通过以上示例，我们演示了如何使用RBAC在Kubernetes中定义和控制用户对资源的权限。RBAC通过细粒度的访问控制，有力地保护了Kubernetes集群中的资源，确保了集群的安全性和合规性。

结论

通过本文，我们深入了解了Kubernetes中权限管理模型RBAC的基本概念、核心组件，并通过详细的示例演示了如何创建Role、RoleBinding、ClusterRole和ClusterRoleBinding，以及如何验证用户对资源的权限。RBAC是Kubernetes中一个强大而灵活的权限管理工具，可以根据实际需求为不同用户和服务账户分配适当的权限，确保了集群的安全性。在实际使用中，需要根据集群规模和业务需求，合理设计和配置RBAC规则，以达到最佳的安全实践。