如何管理 Kubernetes RBAC 权限

简介

Kubernetes RBAC（基于角色的访问控制）是一项强大的功能，可让你管理和控制对 Kubernetes 资源的访问。在本教程中，我们将探讨 Kubernetes RBAC 的基础知识，包括关键组件、它们的角色，以及如何在你的 Kubernetes 环境中配置 RBAC。我们还将介绍如何验证和管理 RBAC 设置，以确保你的集群中进行适当的访问控制。

Kubernetes RBAC 基础

Kubernetes 基于角色的访问控制（RBAC）是一项强大的功能，可让你管理和控制对 Kubernetes 资源的访问。RBAC 是 Kubernetes 安全中的一个基本概念，因为它使你能够为 Kubernetes 集群中的用户、组和服务账户定义和实施权限。

在本节中，我们将探讨 Kubernetes RBAC 的基础知识，包括关键组件、它们的角色，以及如何在你的 Kubernetes 环境中配置 RBAC。

理解 Kubernetes RBAC

Kubernetes RBAC 基于角色和角色绑定的概念。角色定义了一组权限，这些权限可以通过角色绑定授予主体（用户、组或服务账户）。

Kubernetes RBAC 的关键组件包括：

1. 角色（Roles）：角色定义了一组可以授予命名空间内资源的权限。它们指定了对特定资源允许的操作（例如，创建、读取、更新、删除）。

2. 集群角色（ClusterRoles）：集群角色与角色类似，但它们在整个集群范围内应用，而不是局限于特定的命名空间。

3. 角色绑定（RoleBindings）：角色绑定将一个角色与一个主体（用户、组或服务账户）关联起来，在命名空间内为该主体授予指定的权限。

4. 集群角色绑定（ClusterRoleBindings）：集群角色绑定将一个集群角色与一个主体关联起来，在整个集群范围内授予指定的权限。

Kubernetes RBAC 的用例

Kubernetes RBAC 对于管理 Kubernetes 集群中的访问和权限至关重要。一些常见的用例包括：

1. 命名空间资源访问：为用户或组授予对命名空间内资源（如 Pod、服务或部署）的特定权限。

2. 集群范围的资源访问：授予管理资源（如节点、持久卷或集群范围的角色和集群角色绑定）的集群范围权限。

3. 服务账户权限：定义服务账户的权限，Pod 使用这些权限与 Kubernetes API 进行交互。

4. 关注点分离：实施细粒度的访问控制模型，以分离职责并限制不同用户或团队的权限范围。

配置 Kubernetes RBAC

要在你的 Kubernetes 集群中配置 RBAC，你可以使用 Kubernetes API 对象，如角色（Roles）、集群角色（ClusterRoles）、角色绑定（RoleBindings）和集群角色绑定（ClusterRoleBindings）。这些对象可以在 YAML 文件中定义，并使用 kubectl apply 应用到你的集群。

这是一个简单的角色和角色绑定的示例：

## 角色
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
  - apiGroups: [""] ## "" 表示核心 API 组
    resources: ["pods"]
    verbs: ["get", "watch", "list"]

---
## 角色绑定
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
  - kind: User
    name: alice ## 名称区分大小写
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

此示例定义了一个名为 pod-reader 的角色，该角色授予对 default 命名空间中 Pod 的 get、watch 和 list 权限。然后，角色绑定将 pod-reader 角色与 alice 用户关联起来，授予他们指定的权限。

在 Kubernetes 中配置 RBAC

在本节中，我们将探讨在 Kubernetes 集群中配置 RBAC 的过程。我们将介绍角色（Roles）、集群角色（ClusterRoles）、角色绑定（RoleBindings）和集群角色绑定（ClusterRoleBindings）的创建，以及如何向不同主体（用户、组和服务账户）分配权限。

创建角色和集群角色

角色和集群角色定义了可以在 Kubernetes 集群中授予主体的权限。要创建一个角色，你可以使用以下 YAML 配置：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
  - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "list", "watch"]

这个名为 “pod-reader” 的角色授予了在 “default” 命名空间中对 Pod 的 “get”、“list” 和 “watch” 权限。

要创建一个集群角色，配置类似，但没有 “namespace” 字段：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin
rules:
  - apiGroups: ["*"]
    resources: ["*"]
    verbs: ["*"]

这个名为 “cluster-admin” 的集群角色授予了对整个 Kubernetes 集群中所有资源的完全访问权限。

使用角色绑定和集群角色绑定分配权限

一旦你定义了角色和集群角色，就可以使用角色绑定和集群角色绑定将它们分配给主体。

角色绑定将一个角色与命名空间内的一个主体关联起来：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
  - kind: User
    name: alice
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

这个角色绑定在 “default” 命名空间中将 “pod-reader” 角色授予了 “alice” 用户。

类似地，集群角色绑定将一个集群角色与整个集群中的一个主体关联起来：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluster-admin-binding
subjects:
  - kind: User
    name: alice
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

这个集群角色绑定在整个 Kubernetes 集群中将 “cluster-admin” 集群角色授予了 “alice” 用户。

通过组合角色、集群角色、角色绑定和集群角色绑定，你可以创建一个满足 Kubernetes 环境特定需求的细粒度访问控制系统。

验证和管理 RBAC

在本节中，我们将讨论如何在你的 Kubernetes 集群中验证和管理 RBAC 配置。正确地验证和管理 RBAC 对于确保集群的安全性和可靠性至关重要。

验证 RBAC 权限

要验证在你的 Kubernetes 集群中授予主体（用户、组或服务账户）的权限，你可以使用 kubectl can-i 命令。此命令允许你检查主体是否具有对资源执行特定操作所需的权限。

例如，要检查 alice 用户是否可以列出 default 命名空间中的 Pod，你可以运行：

kubectl --as=alice can-i list pods --namespace default

输出将指示 alice 用户是否具有在 default 命名空间中列出 Pod 的必要权限。

你还可以使用 kubectl auth can-i 命令来检查特定资源、动词和命名空间的权限：

kubectl auth can-i create deployments --namespace default

此命令将检查当前用户是否具有在 default 命名空间中创建 Deployment 的权限。

审核 RBAC 配置

定期审核你的 RBAC 配置对于确保授予主体的权限适当且最新至关重要。你可以使用 kubectl get 命令列出集群中现有的角色（Roles）、集群角色（ClusterRoles）、角色绑定（RoleBindings）和集群角色绑定（ClusterRoleBindings）：

kubectl get roles -A
kubectl get clusterroles
kubectl get rolebindings -A
kubectl get clusterrolebindings

这些命令将提供集群中 RBAC 配置的概述，然后你可以根据需要进行审查和更新。

RBAC 最佳实践

在你的 Kubernetes 集群中管理 RBAC 时，请考虑以下最佳实践：

1. 最小权限原则：为每个主体授予执行其任务所需的最低权限。
2. 关注点分离：避免向用户或组授予广泛的权限。相反，为每个用例创建特定的角色和角色绑定。
3. 定期审查和更新：定期审查你的 RBAC 配置，并根据需要进行更新，以适应 Kubernetes 环境的变化。
4. 记录和沟通：维护你的 RBAC 配置的清晰文档，并将任何更改传达给相关利益相关者。
5. 自动化 RBAC 管理：考虑使用工具或脚本来自动化 RBAC 配置的创建和管理，特别是在大型或复杂的 Kubernetes 环境中。

通过遵循这些最佳实践，你可以确保你的 Kubernetes RBAC 配置是安全的、可维护的，并与组织不断变化的需求保持一致。

总结

Kubernetes RBAC 是 Kubernetes 安全中的一个基本概念，它使你能够在 Kubernetes 集群中为用户、组和服务账户定义和实施权限。通过理解关键的 RBAC 组件，如角色（Roles）、集群角色（ClusterRoles）、角色绑定（RoleBindings）和集群角色绑定（ClusterRoleBindings），你可以有效地配置和管理对 Kubernetes 资源的访问。本教程全面概述了 Kubernetes RBAC 的基础知识，指导你完成配置和验证 RBAC 设置的过程，以确保对 Kubernetes 环境进行安全且可控的访问。