控制用户权限

为了简单方便,小集群或测试环境集群我们通常使用最高权限的 admin 账号,可以做任何操作,但是如果是重要的生产环境集群,可以操作集群的人比较多,如果这时还用这个账号可能就会比较危险,一旦有人误操作或故意搞事就可能酿成大错,即使 apiserver 开启审计也无法知道是谁做的操作,所以最好控制下权限,根据人的级别或角色创建拥有对应权限的账号,这个可以通过 RBAC 来实现(确保 kube-apiserver 启动参数 --authorization-mode=RBAC),基本思想是创建 User 或 ServiceAccount 绑定 Role 或 ClusterRole 来控制权限。

User 来源

User 的来源有多种:

  • token 文件: 给 kube-apiserver 启动参数 --token-auth-file 传一个 token 认证文件,比如: --token-auth-file=/etc/kubernetes/known_tokens.csv
    • token 文件每一行表示一个用户,示例: wJmq****PPWj,admin,admin,system:masters
    • 第一个字段是 token 的值,最后一个字段是用户组,token 认证用户名不重要,不会识别
  • 证书: 通过使用 CA 证书给用户签发证书,签发的证书中 CN 字段是用户名,O 是用户组

" class="reference-link">使用 RBAC 控制用户权限

下面给出几个 RBAC 定义示例。

给 roc 授权 test 命名空间所有权限,istio-system 命名空间的只读权限:

  1. kind: Role
  2. apiVersion: rbac.authorization.k8s.io/v1
  3. metadata:
  4.   name: admin
  5.   namespace: test
  6. rules:
  7.   - apiGroups: ["*"]
  8.     resources: ["*"]
  9.     verbs: ["*"]
  11. ---
  13. kind: RoleBinding
  14. apiVersion: rbac.authorization.k8s.io/v1
  15. metadata:
  16.   name: admin-to-roc
  17.   namespace: test
  18. subjects:
  19.   - kind: User
  20.     name: roc
  21.     apiGroup: rbac.authorization.k8s.io
  22. roleRef:
  23.   kind: Role
  24.   name: admin
  25.   apiGroup: rbac.authorization.k8s.io
  27. ---
  29. kind: Role
  30. apiVersion: rbac.authorization.k8s.io/v1
  31. metadata:
  32.   name: readonly
  33.   namespace: istio-system
  34. rules:
  35.   - apiGroups: ["*"]
  36.     resources: ["*"]
  37.     verbs: ["get", "watch", "list"]
  39. ---
  40. kind: RoleBinding
  41. apiVersion: rbac.authorization.k8s.io/v1
  42. metadata:
  43.   name: readonly-to-roc
  44.   namespace: istio-system
  45. subjects:
  46.   - kind: User
  47.     name: roc
  48.     apiGroup: rbac.authorization.k8s.io
  49. roleRef:
  50.   kind: Role
  51.   name: readonly
  52.   apiGroup: rbac.authorization.k8s.io

给 roc 授权整个集群的只读权限:

  1. kind: ClusterRole
  2. apiVersion: rbac.authorization.k8s.io/v1
  3. metadata:
  4.   name: readonly
  5. rules:
  6.   - apiGroups: ["*"]
  7.     resources: ["*"]
  8.     verbs: ["get", "watch", "list"]
  10. ---
  11. kind: ClusterRoleBinding
  12. apiVersion: rbac.authorization.k8s.io/v1
  13. metadata:
  14.   name: readonly-to-roc
  15. subjects:
  16.   - kind: User
  17.     name: roc
  18.     apiGroup: rbac.authorization.k8s.io
  19. roleRef:
  20.   kind: ClusterRole
  21.   name: readonly
  22.   apiGroup: rbac.authorization.k8s.io

给 manager 用户组里所有用户授权 secret 读权限:

  1. apiVersion: rbac.authorization.k8s.io/v1
  2. kind: ClusterRole
  3. metadata:
  4.   name: secret-reader
  5. rules:
  6. - apiGroups: [""]
  7.   resources: ["secrets"]
  8.   verbs: ["get", "watch", "list"]
  10. ---
  12. apiVersion: rbac.authorization.k8s.io/v1
  13. kind: ClusterRoleBinding
  14. metadata:
  15.   name: read-secrets-global
  16. subjects:
  17. - kind: Group
  18.   name: manager
  19.   apiGroup: rbac.authorization.k8s.io
  20. roleRef:
  21.   kind: ClusterRole
  22.   name: secret-reader
  23.   apiGroup: rbac.authorization.k8s.io

配置 kubeconfig

  1. # 如果使用证书认证,使用下面命令配置用户认证信息
  2. kubectl config set-credentials <user> --embed-certs=true --client-certificate=<client-cert-file> --client-key=<client-key-file>
  4. # 如果使用 token 认证,使用下面命令配置用户认证信息
  5. # kubectl config set-credentials <user> --token='<token>'
  7. # 配置cluster entry
  8. kubectl config set-cluster <cluster> --server=<apiserver-url> --certificate-authority=<ca-cert-file>
  9. # 配置context entry
  10. kubectl config set-context <context> --cluster=<cluster> --user=<user>
  11. # 配置当前使用的context
  12. kubectl config use-context <context>
  13. # 查看
  14. kubectl config view

参考资料