Rancher中的K8S認(rèn)證和RBAC

Forest10 發(fā)布于2019-07-01 16:37 / 2277人閱讀

摘要：在中使用驗(yàn)證使用身份驗(yàn)證策略來認(rèn)證用戶的。審閱狀態(tài)包含名稱和組等用戶信息。中的授權(quán)模塊稍后將以此確定該用戶的訪問級(jí)別。認(rèn)證請(qǐng)求認(rèn)證服務(wù)決定該用戶是否通過認(rèn)證，并向發(fā)送響應(yīng)。在對(duì)的請(qǐng)求成功進(jìn)行認(rèn)證之后，必須授權(quán)該請(qǐng)求。

Rancher Kubernetes擁有RBAC（基于角色的訪問控制）功能，此功能可以讓管理員配置不同的策略，允許或拒絕用戶和服務(wù)帳戶訪問Kubernetes API資源。

為了更好地理解RBAC功能是如何工作的，本文將闡明如何使用Kubernetes API進(jìn)行身份認(rèn)證，以及RBAC授權(quán)模塊如何與認(rèn)證用戶協(xié)同工作。

在Rancher中使用KUBERNETES驗(yàn)證

Rancher使用Webhook Token身份驗(yàn)證策略來認(rèn)證用戶的bearer token。首先，用戶使用Rancher驗(yàn)證通過Kubernetes > CLI選項(xiàng)卡獲得kube配置文件，這其中就包含bearer token。然后，kubectl借助此token和web hook遠(yuǎn)程認(rèn)證服務(wù)，用Kubernetes API對(duì)用戶進(jìn)行身份認(rèn)證:

當(dāng)用戶嘗試使用bearer token對(duì)Kubernetes API進(jìn)行認(rèn)證時(shí)，認(rèn)證webhook會(huì)與Rancher Kubernetes認(rèn)證服務(wù)進(jìn)行通信，并發(fā)送包含該token的身份認(rèn)證審查對(duì)象。然后，Rancher Kubernetes認(rèn)證服務(wù)將會(huì)發(fā)送一個(gè)檢查狀態(tài)，該狀態(tài)指定用戶是否經(jīng)過身份認(rèn)證。

審閱狀態(tài)包含名稱、uid和組等用戶信息。Kubernetes API中的授權(quán)模塊稍后將以此確定該用戶的訪問級(jí)別。

以下是Kubernetes發(fā)送給Rancher Kubernetes認(rèn)證服務(wù)的認(rèn)證請(qǐng)求示例。

認(rèn)證請(qǐng)求：

Rancher Kubernetes認(rèn)證服務(wù)決定該用戶是否通過認(rèn)證，并向Kubernetes發(fā)送響應(yīng)。

認(rèn)證響應(yīng)：

如您所見，由于環(huán)境所有者發(fā)送此請(qǐng)求，用戶在系統(tǒng)中被歸為system:masters組，該用戶組可以訪問Kubernetes集群中的所有資源：

集群角色“集群管理”資源允許訪問所有API組中的所有Kubernetes資源:

RBAC授權(quán)模塊

對(duì)API的請(qǐng)求包含請(qǐng)求者的用戶名、請(qǐng)求的操作以及操作所影響的對(duì)象的信息。在對(duì)Kubernetes API的請(qǐng)求成功進(jìn)行認(rèn)證之后，必須授權(quán)該請(qǐng)求。

RBAC授權(quán)模塊定義了四個(gè)頂級(jí)對(duì)象，這四個(gè)對(duì)象控制授權(quán)用戶的授權(quán)決策:

角色

集群角色

角色綁定

集群角色綁定

角色和集群角色都標(biāo)識(shí)了Kubernetes API資源的權(quán)限集。它們之間唯一的區(qū)別是：角色可以在命名空間中定義，而集群角色綁定則在集群范圍內(nèi)定義。

角色綁定和集群角色綁定將定義的角色分配給用戶、組或服務(wù)帳戶。而它們可以通過在命名空間中進(jìn)行角色綁定或在集群范圍內(nèi)進(jìn)行集群角色綁定來獲得授予權(quán)限。在下一節(jié)中我們將討論相關(guān)示例。

如何在Rancher中啟用Kubernetes RBAC功能

要在Rancher中全新安裝Kubernetes來啟用RBAC功能，您可以編輯默認(rèn)環(huán)境或創(chuàng)建新的環(huán)境模板。在Kubernetes環(huán)境選項(xiàng)中，您可以啟用RBAC，如果您已經(jīng)啟動(dòng)了Kubernetes基礎(chǔ)設(shè)施服務(wù)，則可以單擊“更新”以更新Kubernetes的配置選項(xiàng)。

RBAC示例

如前一節(jié)所述，這些示例假設(shè)您已經(jīng)啟用了RBAC功能的Kubernetes，并假設(shè)您已啟用Rancher的GitHub身份認(rèn)證。

作為Kubernetes環(huán)境的所有者，如前所述，您可以訪問所有Kubernetes API，因?yàn)榧汗芾韱T角色是默認(rèn)分配給環(huán)境所有者的。管理員用戶默認(rèn)不會(huì)訪問任何API資源。

若您已將一些GitHub用戶和組添加為Kubernetes環(huán)境的成員，當(dāng)你嘗試訪問Kubernetes API時(shí)，則會(huì)收到以下消息：

要跨所有Kubernetes集群?jiǎn)⒂肎itHub組織的訪問權(quán)限，請(qǐng)創(chuàng)建以下集群角色：

此角色定義了列表并獲得了對(duì)服務(wù)資源的訪問權(quán)限。此時(shí), 集群角色不與任何用戶或組關(guān)聯(lián), 因此以下步驟為創(chuàng)建集群角色綁定:

角色綁定指定了GitHub組織的“github_org:”組。這時(shí)您會(huì)發(fā)現(xiàn)，當(dāng)您想將角色綁定應(yīng)用于組時(shí)，每種認(rèn)證類型都有專門的Rancher認(rèn)證語法。有關(guān)更多詳細(xì)信息，可參閱Rancher文檔：

創(chuàng)建角色綁定后，您就可以列出屬于此GitHub組織的任何用戶的服務(wù)了：

關(guān)注微信公眾號(hào)（RancherLabs），獲取每日Docker&K8S技術(shù)干貨推送。
添加Rancher助手（RancherLabsChina）為好友，加入技術(shù)群，獲取免費(fèi)技術(shù)支持，年末贏取Apple Watch、Beats耳機(jī)、機(jī)械鍵盤等重磅好禮。