Kubernetes权限管理之RBAC

k8s在启用基于角色管理的访问控制 RBAC（Role-based-Access-Control）的授权模式。相当于基于属性的访问控制ABAC（Attribute-based Access Control）,RBAC主要是引入了角色（Role 权限的集合）和角色绑定（RoleBinding）的抽象概念。在ABAC中，k8s集群中的访问策略只能跟用户直接关联；而RBAC中，访问策略可以跟某个角色关联，具体的用户再和某个角色或者多个角色关联。

RBAC有四个新的k8s顶级资源对象：角色（Role）、集群角色（ClusterRole）、角色绑定（RoleBinding）、集群角色绑定（ClusterRoleBinding）。同其他API资源对象一样，用户可以使用kubectl或者API调用方式等操作这些资源对象

RBAC具有如下优势

对集群中的资源和非资源权限有完整的覆盖
整个RBAC完由几个API对象完成，同其他API对象一样，可以使用kubectl 或API进行操作
可以在运行时进行调整，无须重新启动API server
使用RBAC授权模式，则需要在API sever的启动参数中加上 --authorization-mod=RBAC。

角色（Role）

一个角色就是一组权限的集合，这里的权限都是许可形式的，不存在拒绝的规则。在一个名称空间（namespace）中，可以用角色来定义一个角色，如果是集群级别的，就需要使用ClusterRole了，角色只能对指定名称空间内的资源进行授权，下面例子中定义的角色具备读取pod的权限

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]    # ""空字符串，表示核心API群
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

rules中的参数说明：

apiGroups：支持的API组列表，如“apiVersion: batch/v1"、"apiVersion: extensions:v1beta1"、"apiVersion:apps/v1beta1"等。
resources：支持的资源对象列表，如pods、deployments、jobs等
verbs：对资源对象的操作方法列表，如 get、watch、list、delete、replace、patch等

集群角色（ClusterRole）

集群角色除了具有和角色（role）一致的名称空间内资源的管理能力，因其集群级别的生效范围，还可以用于以下特殊元素的授权管理上：

集群范围的资源，如node
非资源型的路径，如‘/healthz’
包含全部名称空间的资源，如pods（用于kubectl get pods --all-namespaces这样的操作授权）

下面的集群角色可以让用户有权限访问任意一个或所有名称空间的secrets：

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  # ClusterRole不受限于命名空间，所以省略了namespace name的定义
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

角色绑定（RoleBinding）和集群角色绑定（ClusterRoleBinding）

角色绑定或集群角色绑定用来把一个角色绑定到一个目标（用户）上，绑定的目标可以是User（用户）、Group（组）、ServiceAccount。使用RoleBinding可以为某一个名称空间授权，使用ClusterRoleBinding可以为集群范围内授权。

RoleBinding可以引用Role进行授权，如下中的RoleBinding将在defalut名称空间中把pod-reader角色授予用户jane，这一操作让jane用户可以读取到default名称空间中的pod

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-pods   #RoleBinding名称
  namespace: default  #授予的名称空间
subjects:
- kind: User
    name: jane            #授权用户
    apiGroup: rbac.authorization.k8s.io 
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

RoleBinding 也可以引用ClusterRole进行授权

RoleBinding可以引用ClusterRole，对属于同一命名空间内 ClusterRole定义的资源主体进程授权。一种很常用的做法就是集群管理员为集群范围预定义好一组角色（ClusterRole），然后在多个名称空间中应用这些ClusterRole。这样可以提高授权管理工作效率，也使得各个名称空间下基础性授权规则与使用体验保持一致。

如下，虽然secret-reader是一个集群角色，但是因为使用了RoleBinding，所以dave只能读取development名称空间中的secret

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-secrets
  namespace: development   # 集群角色中，只有在development命名空间中的权限才能赋予dave
subjects:
- kind: User
  name: dave
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

ClusterRoleBinding 集群角色绑定中角色只能是集群角色，用于进行集群级别或者对所有名称空间（all-namespaces）都生效的授权。如允许manager组的用户读取任意namespace中的secret：

kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: read-secrets-global
subjects:
- kind: Group
  name: manager
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: secret-reader
  apiGroup: rbac.authorization.k8s.io

下图展示了上述对Pod的get/watch/list操作进行授权的Role和RoleBinding逻辑关系。

对资源的引用方式

多数资源可以用其名称的字符串来表达，也就是Endpoint中的URL相对路径，例如pods。然而，某些k8s API包含下级资源，如pod的日志（logs）。pod日志的Endpoint是GET/api/v1/namespaces/{namespace}/pods/{pod_name}/log。

在这个例子中，Pod是一个命名空间内的资源，log就是一个下级资源。要在RBAC角色中体现，则需要用斜线 '/' 来区隔资源和下级资源。

若想授权让某个主体同时能够读取Pod和 Pod log，则可以配置resources为一个数组：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: default
  name: pod-and-pod-logs-reader
rules:
- apiGroups: [""]
  resources: ["pods", "pods/log"]
  verbs: ["get", "list"]

资源还可以通过名称（ResourceName）进行引用（这里指的是资源实例的名字）。在指定ResourceName后，使用get、delete、update、patch动作的请求，就会被限制这个资源实例的范围内。

如声明让一个主体只能对一个configmap进行get 和update操作

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: default
  name: configmap-updater
rules:
- apiGroups: [""]
  resources: ["configmap"]
  resourceNames: ["my-configmap"]
  verbs: ["update", "get"]

resourceName 这种用法对list、watch、create、deletecollection操作是无效的，这是因为必须要通过URL进行鉴权，而资源名称在list、watch、create和deletecollection请求中只能请求Body数据的一部分。

常用的角色（Role）实例

允许读取核心API组中的Pod资源

rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]

允许读写"extensions"和"apps"两个API组中的"deployments"资源

rules:
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

允许读取"pods"及读写"jobs"

rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
- apiGroups: ["batch", "extensions"]
  resources: ["jobs"]
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]

允许读取一个名为"my-config"的ConfigMap（必须绑定到一个RoleBinding来限制到一个namespace下的ConfigMap）
```
rules:
- apiGroups: [""]
  resources: ["configmaps"]
  resourceNames: ["my-config"]
  verbs: ["get"]
```
读取核心组的"node"资源（Node属于集群级的资源，所以必须存在于ClusterRole中，并使用ClusterRoleBinding进行绑定）
```
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
```
允许对非资源端点/healthz及其所有子路径进行GET和POST操作（必须使用ClusterRole和ClusterRoleBinding）
```
rules:
- nonResourceURLs: ["/healthz", "/healthz/*"]
  verbs: ["get", "post"]
```

常用的角色绑定（RoleBinding）示例

注意，下面的例子中只包含subjects部分的内容。

用户名"alice@example.com"

subjects:
- kind: User
  name: "alice@example.com"
  apiGroup: rbac.authorization.k8s.io

组名"frontend-admins"

subjects:
- kind: Group
  name: "frontend-admins"
  apiGroup: rbac.authorization.k8s.io

kube-system命名空间中的默认Service Account

subjects:
- kind: ServiceAccount
  name: default
  namespace: kube-system

"qa"命名空间中的所有Service Account

subjects:
- kind: Group
  name: system:serviceaccounts:qa
  apiGroup: rbac.authorization.k8s.io

所有Service Account

subjects:
- kind: Group
  name: system:serviceaccounts
  apiGroup: rbac.authorization.k8s.io

所有认证用户（v1.5版本以上）

subjects:
- kind: Group
  name: system:authenticated
  apiGroup: rbac.authorization.k8s.io

所有未认证用户（v1.5版本以上）

subjects:
- kind: Group
  name: system:unauthenticated
   apiGroup: rbac.authorization.k8s.io

全部用户（v1.5版本以上）

subjects:
- kind: Group
  name: system:authenticated
   apiGroup: rbac.authorization.k8s.io
- kind: Group
  name: system:unauthenticated
  apiGroup: rbac.authorization.k8s.io

默认的角色和角色绑定

API Server创建了一系列的默认ClusterRole和ClusterRoleBinding对象，其中许多对象已“system：”前缀开头，代表其中绑定的资源作为基础设施适用和占有的，修改这些资源会导致整个集群不可用。一个例子是system:node ClusterRole角色拥有一系列的kubelet权限，如果这个集群角色被修改了，可能会让kubelet异常

所有默认的集群角色（ClusterRole）和其角色绑定（role binding）都带有如下标记

kubernetes.io/bootstrapping=rbac-defaults

对系统角色的说明如下表所示

默认的ClusterRole	默认的ClusterRoleBinding	描述
system:basic-user	system:authenticated和system:unauthenticated组	让用户能够读取自身的信息
system:discovery	system:authenticated和system:unauthenticated组	对API发现Endpoint的只读访问，用于API级别的发现和协商

对用户角色的说明如下表所示：

默认的ClusterRole	默认的ClusterRoleBinding	描述
cluster-admin	system:masters组	让超级用户可以对任何资源执行任何操作。如果在ClusterRoleBinding中使用，则影响的是整个集群的所有namespace中的任何资源；如果使用的是RoleBinding，则能控制这一绑定的namespace中的资源，还包括namespace本身。
cluster-status	None	可以对基础集群状态信息进行只读访问。
admin	None	允许admin访问，可以限制在一个namespace中使用RoleBinding。如果在RoleBinding中使用，则允许对namespace中大多数资源进行读写访问，其中包含创建角色和角色绑定的能力。这一角色不允许操作namespace本身，也不能写入资源限额。
edit	None	允许对命名空间内的大多数资源进行读写操作，不允许查看或修改角色，以及角色绑定。
view	None	允许对多数对象进行只读操作，但是对角色、角色绑定及secret是不可访问的。

注：有些默认角色不是以"system:" 为前缀的，这部分角色是针对用户的，其中包含超级用户角色（cluster-admin），有的用于集群一级的角色（cluster-status），还有针对namespace的角色（admin、edit、view）

对核心Master组件角色的说明如下表所示：

转载地址：https://www.orchome.com/1308

默认的ClusterRole 默认的ClusterRoleBinding 描述 system:basic-user system:authenticated和system:unauthenticated组让用户能够读取自身的信息 system:discovery system:authenticated和system:unauthenticated组对API发现Endpoint的只读访问，用于API级别的发现和协商

作者：半兽人
链接：https://www.orchome.com/1308
来源：OrcHome
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

描述