Kubernetes 鉴权体系：深入剖析 RBAC 的授权机制

Kubernetes 鉴权体系：RBAC 是如何工作的？

Kubernetes 鉴权体系是 Kubernetes 安全保障的重要一环，而 RBAC（基于角色的访问控制）作为 Kubernetes 鉴权体系的核心机制，负责为 Kubernetes 集群内的不同用户和服务分配访问权限。

RBAC 的组件

RBAC 主要由以下组件组成：

• Role： 角色定义了一组与特定操作相关的权限，例如允许用户创建 Pod、删除 Service 等。
• RoleBinding： 角色绑定将角色与用户或服务绑定在一起，明确哪些用户或服务拥有哪些角色。
• ClusterRole： 集群范围的角色，与 Role 类似，但适用于整个集群，而非某个特定命名空间。
• ClusterRoleBinding： 集群范围的角色绑定，与 RoleBinding 类似，但适用于整个集群，而非某个特定命名空间。

RBAC 的授权流程

RBAC 的授权流程如下：

1. 用户或服务向 API Server 发起请求。
2. API Server 根据请求信息（如请求的资源、请求的操作等）构建一个 SubjectAccessReview 请求。
3. API Server 将 SubjectAccessReview 请求发送给授权模块。
4. 授权模块根据 RBAC 规则评估 SubjectAccessReview 请求，并返回授权结果。
5. API Server 根据授权结果决定是否允许请求继续进行。

RBAC 的示例

以下是一些 RBAC 的示例：

• 将 role "admin" 绑定给用户 "alice"，允许 alice 在 default 命名空间中创建 Pod。

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: alice-admin-binding
subjects:
- kind: User
  name: alice
roleRef:
  kind: Role
  name: admin
  apiGroup: rbac.authorization.k8s.io

• 将 clusterRole "cluster-admin" 绑定给服务账号 "default"，允许 default 服务账号在整个集群中创建 Pod。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: default-cluster-admin-binding
subjects:
- kind: ServiceAccount
  name: default
  namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

RBAC 的总结

RBAC 是 Kubernetes 鉴权体系的核心机制，为 Kubernetes 集群内的不同用户和服务分配访问权限。RBAC 通过角色、绑定和授权流程来实现授权控制。RBAC 可以通过 YAML 文件或 kubectl 命令来管理。