实践中理解Kubernetes RBAC之Role,


背景

172.16.99.128是的我k8s集群的master节点,此处是从这里获取集群的证书。

创建访问architechure命名空间的用户

1.给用户devops 创建一个私钥

  1. openssl genrsa -out devops.key 2048 

2.使用我们刚刚创建的私钥创建一个证书签名请求文件:devops.csr,要注意需要确保在-subj参数中指定用户名和组(CN表示用户名,O表示组)

  1. openssl req -new -key devops.key -out devops.csr -subj "/CN=devops/O=architechure" 

3.然后找到我们的Kubernetes集群的CA,我们使用的是kubeadm安装的集群,CA相关证书位于/etc/kubernetes/pki/目录下面,如果你是二进制方式搭建的,你应该在最开始搭建集群的时候就已经指定好了CA的目录,我们会利用该目录下面的ca.crt和ca.key两个文件来批准上面的证书请求,生成最终的证书文件,我们这里设置证书的有效期为500天

  1. scp root@172.16.99.128:/etc/kubernetes/pki/ca.crt . 
  2. scp root@172.16.99.128:/etc/kubernetes/pki/ca.key . 
  3. openssl x509 -req -in devops.csr -CA ./ca.crt -CAkey ./ca.key -CAcreateserial -out devops.crt -days 500 
  4. ➜  ls -al 
  5. total 72 
  6. drwxr-xr-x  11 marion  staff   352 Dec 25 11:32 . 
  7. drwxr-xr-x  13 marion  staff   416 Dec 25 11:26 .. 
  8. -rw-r--r--   1 marion  staff    17 Dec 25 11:32 .srl 
  9. -rw-r--r--   1 marion  staff  1156 Dec 25 11:32 README.md 
  10. -rw-r--r--   1 marion  staff  1025 Dec 25 11:30 ca.crt 
  11. -rw-------   1 marion  staff  1675 Dec 25 11:30 ca.key 
  12. -rw-r--r--   1 marion  staff  1009 Dec 25 11:32 devops.crt 
  13. -rw-r--r--   1 marion  staff   924 Dec 25 11:30 devops.csr 
  14. -rw-r--r--   1 marion  staff  1679 Dec 25 11:27 devops.key 

4.现在我们可以使用刚刚创建的证书文件和私钥文件在集群中创建新的凭证:

  1. kubectl config set-credentials devops --client-certificate=devops.crt  --client-key=devops.key 

5.通过刚才创建的用户凭证创建新的上下文(Context)

  1. #如果你的电脑上正在管理多个集群的,可能你的集群名字会被改变,因此在下面的--cluster参数处指明实际的集群名称,如下图 
  2. kubectl config set-context devops-context --cluster=cluster-tf26gt9mmk --namespace=architechure --user=devops 

6.尝试通过该用户操作命令

  1. ➜  kubectl get pods --context=devops-context 
  2. Error from server (Forbidden): pods is forbidden: User "devops" cannot list resource "pods" in API group "" in the namespace "architechure" # 因为该devops-context还没有操作API的权限 

7.给用户创建一个role的角色devops.role.yaml

  1. apiVersion: rbac.authorization.k8s.io/v1 
  2. kind: Role 
  3. metadata: 
  4.   name: devops-role 
  5.   namespace: architechure 
  6. rules: 
  7. - apiGroups: ["", "extensions", "apps"] 
  8.   resources: ["deployments", "replicasets", "pods"] 
  9.   verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 也可以使用['*'] 

然后在集群中创建该角色

  1. kubectl apply -f ./devops.role.yaml 

8.创建权限与角色之间的绑定关系devops-rolebinding.yaml

  1. apiVersion: rbac.authorization.k8s.io/v1 
  2. kind: RoleBinding 
  3. metadata: 
  4.   name: devops-rolebinding 
  5.   namespace: architechure 
  6. subjects: 
  7. - kind: User 
  8.   name: devops 
  9.   apiGroup: "" 
  10. roleRef: 
  11.   kind: Role 
  12.   name: devops-role # 上一步创建的devops-role实体 
  13.   apiGroup: "" 

在集群中创建角色与用户之间的绑定关系

  1. k apply -f ./devops-rolebinding.yaml 

9.此时我们可以通过kubecm切换到该角色上

此时,从下图就可以查看到当前集群的有一个新的用户角色devops,上面用到的Kubecm我们之前也分享过,如果需要可以点此跳转

10.权限验证

  1. > kubectl get pods 
  2. No resources found in architechure namespace. 
  3. > kubectl get replicasets 
  4. No resources found in architechure namespace. 
  5. > kubectl get deploy 
  6. No resources found in architechure namespace. 
  7. > kubectl get svc 
  8. Error from server (Forbidden): services is forbidden: User "devops" cannot list resource "services" in API group "" in the namespace "architechure" 

总结一下就是:

  • 根据集群的CA证书创建出来用户证书
  • 根据用户证书创建该用户在集群内的凭证和上下文内容
  • 要想用户能进行基本的操作,需要对用户针对apiGroup授权

为devops用户增加指定命名空间的权限

1.我们先把当前上下文切换到之前有权限操作的user-tf26gt9mmk用户上

  1. kubecm switch 
  2. # select dev 

否则以下步骤会出错:

2.首先需要创建针对指定命名空间的上下文

  1. kubectl config set-context devops-context --cluster=cluster-tf26gt9mmk --namespace=default --user=devops 

此时查询列举default空间下的pods是不行的,因为还没允许操作

  1. kubectl get pods --context=devops-context 
  2. Error from server (Forbidden): pods is forbidden: User "devops" cannot list resource "pods" in API group "" in the namespace "default" 

3.创建default空间下的role与rolebinding

devops-role-default.yaml

  1. apiVersion: rbac.authorization.k8s.io/v1 
  2. kind: Role 
  3. metadata: 
  4.   name: devops-role 
  5.   namespace: default 
  6. rules: 
  7. - apiGroups: ["", "extensions", "apps"] 
  8.   resources: ["deployments", "replicasets", "pods"] 
  9.   verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 也可以使用['*'] 

devops-rolebinding-default.yaml

  1. apiVersion: rbac.authorization.k8s.io/v1 
  2. kind: RoleBinding 
  3. metadata: 
  4.   name: devops-rolebinding 
  5.   namespace: default 
  6. subjects: 
  7. - kind: User 
  8.   name: devops 
  9.   apiGroup: "" 
  10. roleRef: 
  11.   kind: Role 
  12.   name: devops-role 
  13.   apiGroup: "" 

然后我们在集群中创建这两个对象

  1. kubectl apply -f devops-role-default.yaml 
  2. kubectl apply -f devops-rolebinding-default.yaml 

4.查看role资源对象是否创建

  1. kubectl get role -A |grep devops-role # 分别在architechure和default命名空间下 
  2. architechure                   devops-role                                      2021-05-17T07:57:27Z 
  3. default                        devops-role                                      2021-05-28T03:19:24Z 

5.切换当前上下文环境,验证是否可以操作资源

  1. kubecm switch 
  2. # select devops-context 
  3. kubectl get pods -n default 
  4. kubectl get pods -n architechure 

到这里就基本上说清楚如何创建一个用户、授权操作k8s集群的过程了。

相关内容