Kubernetes 1.6新特性學習：RBAC授權

概述

Kuberntes中API Server的訪問控制過程圖示如下：

access-control-overview

在Kubernetes中，授權(authorization)是在認證(authentication)之後的一個步驟。授權就是決定一個使用者(普通使用者或ServiceAccount)是否有權請求Kubernetes API做某些事情。

之前，Kubernetes中的授權策略主要是ABAC(Attribute-Based Access Control)。對於ABAC，Kubernetes在實現上是比較難用的，而且需要Master Node的SSH和根檔案系統訪問許可權，授權策略發生變化後還需要重啟API Server。

Kubernetes 1.6中，RBAC(Role-Based Access Control)基於角色的訪問控制進入Beta階段。RBAC訪問控制策略可以使用kubectl或Kubernetes API進行配置。使用RBAC可以直接授權給使用者，讓使用者擁有授權管理的許可權，這樣就不再需要直接觸碰Master Node。在Kubernetes中RBAC被對映成API資源和操作。

RBAC API的資源物件

在Kubernetes 1.6中通過啟動引數--authorization-mode=RBAC.API Overview為API Server啟用RBAC。

使用kubeadm初始化的1.6版本的Kubernetes叢集，已經預設為API Server開啟了RBAC，可以檢視Master Node上API Server的靜態Pod定義檔案：

cat /etc/kubernetes/manifests/kube-apiserver.yaml | grep RBAC
---authorization-mode=RBAC

RBAC API定義了四個資源物件用於描述RBAC中使用者和資源之間的連線許可權：

Role
ClusterRole
RoleBinding
ClusterRoleBinding

Role和ClusterRole

Role是一系列許可權的集合。Role是定義在某個Namespace下的資源，在這個具體的Namespace下使用。ClusterRole與Role相似，只是ClusterRole是整個叢集範圍內使用的。

下面我們使用kubectl列印一下Kubernetes叢集中的Role和ClusterRole：

kubectl get roles --all-namespaces
NAMESPACE NAME AGE
kube-public system:bootstrap-signer-clusterinfo 6d
kube-public system:controller:bootstrap-signer 6d
kube-system extension-apiserver-authentication-reader 6d
kube-system system:controller:bootstrap-signer 6d
kube-system system:controller:token-cleaner 6d

kubectl getClusterRoles
NAME AGE
admin 6d
cluster-admin 6d
edit 6d
flannel 5d
system:auth-delegator 6d
system:basic-user 6d
system:controller:attachdetach-controller 6d
......
system:kube-aggregator 6d
system:kube-controller-manager 6d
system:kube-dns 6d
system:kube-scheduler 6d
system:node 6d
system:node-bootstrapper 6d
system:node-problem-detector 6d
system:node-proxier 6d
system:persistent-volume-provisioner 6d
view 6d

可以看到之前建立的這個Kubernetes叢集中已經內建或建立很多的Role和ClusterRole。

下面在default名稱空間內建立一個名稱為pod-reader的Role，role-pord-reader.yaml檔案如下：

kind:Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
namespace:default
name: pod-reader
rules:
- apiGroups:[""]# "" indicates the core API group
resources:["pods"]
verbs:["get","watch","list"]

kubectl create -f role-pord-reader.yaml
role "pod-reader" created
kubectl get roles
NAME AGE
pod-reader 1m

注意RBAC在Kubernetes 1.6還處於Beta階段，所以API歸屬在rbac.authorization.k8s.io，上面的apiVersion為rbac.authorization.k8s.io/v1beta1。

下面再給一個ClusterRole的定義檔案：

kind:ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
# "namespace" omitted since ClusterRoles are not namespaced
name: secret-reader
rules:
- apiGroups:[""]
resources:["secrets"]
verbs:["get","watch","list"]

RoleBinding和ClusterRoleBinding

RoleBinding把Role繫結到賬戶主體Subject，讓Subject繼承Role所在namespace下的許可權。ClusterRoleBinding把ClusterRole繫結到Subject，讓Subject整合ClusterRole在整個叢集中的許可權。

賬戶主體Subject在這裡還是叫“使用者”吧，包含組group，使用者user和ServiceAccount。

kubectl get rolebinding --all-namespaces
NAMESPACE NAME AGE
kube-public kubeadm:bootstrap-signer-clusterinfo 6d
kube-public system:controller:bootstrap-signer 6d
kube-system system:controller:bootstrap-signer 6d
kube-system system:controller:token-cleaner 6d

kubectl get clusterrolebinding
NAME AGE
cluster-admin 6d
flannel 6d
kubeadm:kubelet-bootstrap 6d
kubeadm:node-proxier 6d
system:basic-user 6d
system:controller:attachdetach-controller 6d
system:controller:certificate-controller 6d
......
system:controller:ttl-controller 6d
system:discovery 6d
system:kube-controller-manager 6d
system:kube-dns 6d
system:kube-scheduler 6d
system:node 6d
system:node-proxier 6d

實際上一個RoleBinding既可以引用相同namespace下的Role；又可以引用一個ClusterRole，RoleBinding引用ClusterRole時使用者繼承的許可權會被限制在RoleBinding所在的namespace下。

kind:RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: read-pods
namespace:default
subjects:
- kind:User
name: jane
apiGroup: rbac.authorization.k8s.io
roleRef:
kind:Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io

kind:RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: read-secrets
namespace: development # This only grants permissions within the "development" namespace.
subjects:
- kind:User
name: dave
apiGroup: rbac.authorization.k8s.io
roleRef:
kind:ClusterRole
name: secret-reader
apiGroup: rbac.authorization.k8s.io

Kubernetes中預設的Role和RoleBinding

API Server已經建立一系列ClusterRole和ClusterRoleBinding。這些資源物件中名稱以system:開頭的，表示這個資源物件屬於Kubernetes系統基礎設施。也就說RBAC預設的叢集角色已經完成足夠的覆蓋，讓叢集可以完全在 RBAC的管理下執行。修改這些資源物件可能會引起未知的後果，例如對於system:node這個ClusterRole定義了kubelet程序的許可權，如果這個角色被修改，可能導致kubelet無法工作。

可以使用kubernetes.io/bootstrapping=rbac-defaults這個label檢視預設的ClusterRole和ClusterRoleBinding：

kubectl get clusterrole -l kubernetes.io/bootstrapping=rbac-defaults
NAME AGE
admin 6d
cluster 相關推薦 Kubernetes 1.6新特性學習：RBAC授權概述 Kuberntes中API Server的訪問控制過程圖示如下：在Kubernetes中，授權(authorization)是在認證(authentication)之後的一個步驟。授權就是決定一個使用者(普通使用者或ServiceAccount)是否有權請 Kubernetes 1.6新特性：RBAC授權概述 Kuberntes中API Server的訪問控制過程圖示如下：在Kubernetes中，授權(authorization)是在認證(authentication)之後的一個步驟。授權就是決定一個使用者(普通使用者或ServiceAccount)是否有權請求Kubernetes API做某 Kubernetes 1.6新特性系列導讀： Dynamic Provisioning的目標是完全自動化儲存資源的生命週期管理，讓使用者無需過多的關注儲存的管理，可以按需求自動動態建立和調整儲存資源。StorageClass本質上是底層儲存介質的抽象：不同的儲存介質擁有統一的表示和行為。作者注：這是五天深入理解Kubernete Kubernetes（k8s）1.6新特性一、靜態POD介紹在Kubernetes中有一個DaemonSet型別的POD，這種型別的POD可以在某個節點上長期執行，這種型別的POD就是靜態POD。靜態POD直接由某個節點上的kubelet程式進行管理，不需要api server介入，靜態POD也不需要關聯任何RC，完全是由kube java8新特性學習：stream與lambda 包含 term strong java statistic 管道特定 getname java8新特性 Streams api 對 Stream 的使用就是實現一個 filter-map-reduce 過程，產生一個最終結果，或者導致一個副作用（side effect） Kubernetes 1.2 新功能介紹：DaemonSet 如果您正在使用kubernetes構建你的生產環境，如果您正在尋找如何在每臺計算節點上執行一個守護程序（Pod），恭喜您，什麼是DaemonSet DaemonSet能夠讓所有（或者一些特定）的Node節點運行同一個pod。當節點加入到kubernetes叢集中， kubernetes 1.6釋出，新特性一覽主要更新和釋出的主題 Kubernetes now supports up to 5,000 nodes via etcd v3, which is enabled by default. Kub Zabbix 3.4.6 新特性：歷史數據支持 Elasticsearch openssl security sql rod start postgre pre first sim 一、升級 cURL註：先升級 cURL，然後在安裝 Zabbix Server，否則報如下錯誤：cannot initialize history storage: c c++11 多線程新特性學習 (1) 管理線程 his on() argc 等待通過運行 int 選擇如果 1.基礎介紹　c++11中,線程是通過std::thread對象來開始的,用法為 #include<thread> //必須包含的頭文件 void do_work(){ std::c Kubernetes1.6新特性：POD高階排程-汙點和容忍特性/報告節點問題特性 (一) 核心概念Pod是kubernetes中的核心概念，kubernetes對於Pod的管理也就是對Pod生命週期的管理以及對Pod進行排程管理。Kubernetes早期版本使用系統預設排程器來對Pod進行統一排程管理，在1.2版本中增加了多個排程器特性，多個排程器可以並 Kubernetes(k8s)1.5新特性:Kubelet API增加認證和授權能力_Kubernetes中文社群一、背景介紹在Kubernetes1.5中，對於kubelet新增加了幾個同認證/授權相關的幾個啟動引數，分別是：認證相關引數： • anonymous-auth引數：是否啟用匿名訪問，可以選擇true或者false，預設是true，表示啟用匿名訪問。 • auth Kubernetes(k8s)1.5新特性:支援windows容器_Kubernetes中文社群一、Windows容器概述 1、Windows 容器型別 Windows 容器包括兩個不同的容器型別或執行時。 WindowsServer 容器 – 通過程序和名稱空間隔離技術提供應用程式隔離。 Windows Server 容器與容器主機和該主機上執行的所有容器共享核心。 Hyper-V容器 Kubernetes1.6新特性：POD高階排程-親和性/反親和性特性 (一) 核心概念Pod是kubernetes中的核心概念，kubernetes對於Pod的管理也就是對Pod生命週期的管理以及對Pod進行排程管理。Kubernetes早期版本使用系統預設排程器來對Pod進行統一排程管理，在1.2版本中增加了多個排程器特性，多個排程器可以並 Flex外包團隊—開發工具：Flex4.6新特性介紹隨著Flex 4.6的釋出，Adobe很榮幸地帶來了Flash Builder的強大更新，現有Flash Builder 4.5客戶可以免費使用它。除了支援Flex框架中的新功能，Flash Builder 4.6還包含亮相將使開發人員能夠構建更出色的跨平臺移動應用程式的新功能：原生擴充套件和執行時繫結（ Python3.6新特性：f-strings格式化輸出特性 python3.6 問題 pytho 字典 lam pre 並且 msg 按照慣例，吟詩一首，蘇軾《江城子·密州出獵》老夫聊發少年狂，左牽黃，右擎蒼，錦帽貂裘，千騎卷平岡。為報傾城隨太守，親射虎，看孫郎。酒酣胸膽尚開張，鬢微霜，又何妨！持節雲中，何日遣馮唐？會 java 1.7 1.8新特性 val row def jce arr app 線程安全動態 adl 在JDK1.7的新特性方面主要有下面幾方面的增強：1.jdk7語法上1.1二進制變量的表示,支持將整數類型用二進制來表示，用0b開頭。1.2 Switch語句支持string類型1.3 Try-with kubernetes 1.6.2部署 kubenetes docker 部署環境服務器：騰訊雲操作系統版本：centos 7.21、修改系統配置：[[email protected]/* */~]# cat /etc/sysctl.d/k8s.conf net.bridge.bridge-nf-call-ip6tables= java 新特性學習筆記 sets arp string get pen option ring true read java 1.7 Files.write(path,list,StandardCharsets.UTF_8,StandardOpenOption.APPEND); St JDK7新特性學習之 --- switch的表達式 bre image http 例如 style 之前字符深入理解編譯錯誤　　JDK7之前，switch中表達式只能是char、byte、short、int及其對應的包裝類和枚舉類型。JDK7之後java中新增加了String類型作為switch的表達式之一。　　但 MySQL 5.6新特性 -- Index Condition Pushdown 部分 isa mysq 支持分區表 explain int mission iss Index Condition Pushdown(ICP)是針對mysql使用索引從表中檢索行數據時的一種優化方法。在沒有ICP特性之前，存儲引擎根據索引去基表查找並將數據返回給my

Kubernetes 1.6新特性學習：RBAC授權

概述

RBAC API的資源物件

Role和ClusterRole

RoleBinding和ClusterRoleBinding

Kubernetes中預設的Role和RoleBinding

相關推薦