Last updated
Kubernetes heeft een autoriseringsmodule genaamd Rolgebaseerde Toegangsbeheer (RBAC) die helpt bij het instellen van machtigingen voor de API-server.
Het machtigingsmodel van RBAC is opgebouwd uit drie afzonderlijke onderdelen:
Rol/ClusterRol - De daadwerkelijke machtiging. Het bevat regels die een set machtigingen vertegenwoordigen. Elke regel bevat resources en werkwoorden. Het werkwoord is de actie die zal worden toegepast op de resource.
Onderwerp (Gebruiker, Groep of ServiceAccount) - Het object dat de machtigingen zal ontvangen.
RolBinding/ClusterRolBinding - De verbinding tussen Rol/ClusterRol en het onderwerp.
Het verschil tussen "Rollen" en "ClusterRollen" is alleen waar de rol zal worden toegepast - een "Rol" geeft toegang tot slechts één specifieke namespace, terwijl een "ClusterRol" kan worden gebruikt in alle namespaces in de cluster. Bovendien kunnen ClusterRollen ook toegang verlenen tot:
cluster-omvangrijke resources (zoals nodes).
niet-resource eindpunten (zoals /healthz).
resources met een namespace (zoals Pods), in alle namespaces.
Vanaf Kubernetes 1.6 zijn RBAC-beleidsregels standaard ingeschakeld. Maar om RBAC in te schakelen, kun je iets als het volgende gebruiken:
In die templaat van 'n Rol of 'n ClusterRol moet jy die naam van die rol, die namespace (in rolle) en dan die apiGroups, resources en verbs van die rol aandui:
Die apiGroups is 'n reeks wat die verskillende API namespaces bevat waarop hierdie reël van toepassing is. Byvoorbeeld, 'n Pod-definisie gebruik apiVersion: v1. Dit kan waardes hê soos rbac.authorization.k8s.io of [*].
Die resources is 'n reeks wat bepaal op watter hulpbronne hierdie reël van toepassing is. Jy kan al die hulpbronne vind met: kubectl api-resources --namespaced=true
Die verbs is 'n reeks wat die toegelate werkwoorde bevat. Die werkwoord in Kubernetes definieer die tipe aksie wat jy op die hulpbron moet toepas. Byvoorbeeld, die lyswerkwoord word gebruik teenoor versamelings terwyl "kry" teenoor 'n enkele hulpbron gebruik word.
(Hierdie inligting is geneem van die dokumentasie)
| HTTP-werkwoord | versoekwerkwoord |
|---|---|
POST | skep |
GET, HEAD | kry (vir individuele hulpbronne), lys (vir versamelings, insluitend volledige objekinhoud), kyk (vir die kyk na 'n individuele hulpbron of versameling hulpbronne) |
PUT | opdateer |
PATCH | lap |
DELETE | verwyder (vir individuele hulpbronne), deletecollection (vir versamelings) |
Kubernetes kontroleer soms outorisasie vir addisionele toestemmings deur gespesialiseerde werkwoorde te gebruik. Byvoorbeeld:
use werkwoord op podsecuritypolicies hulpbronne in die policy API-groep.
bind en escalate werkwoorde op roles en clusterroles hulpbronne in die rbac.authorization.k8s.io API-groep.
impersonate werkwoord op users, groups, en serviceaccounts in die kern API-groep, en die userextras in die authentication.k8s.io API-groep.
Jy kan alle werkwoorde wat elke hulpbron ondersteun vind deur kubectl api-resources --sort-by name -o wide uit te voer.
Byvoorbeeld, jy kan 'n ClusterRole gebruik om 'n spesifieke gebruiker toe te laat om uit te voer:
Van die dokumentasie: 'n role binding verleen die toestemmings wat in 'n rol gedefinieer is aan 'n gebruiker of 'n stel gebruikers. Dit bevat 'n lys van onderwerpe (gebruikers, groepe, of diensrekeninge), en 'n verwysing na die verleen rol. 'n RoleBinding verleen toestemmings binne 'n spesifieke namespace, terwyl 'n ClusterRoleBinding daardie toegang oor die hele kluster verleen.
Permissies is additief, so as jy 'n clusterRole het met "lys" en "verwyder" geheime, kan jy dit byvoeg met 'n Role met "kry". Wees dus bewus en toets altyd jou rolle en toestemmings en spesifiseer wat TOEGELAAT word, want alles is standaard VERBODEN.
