Kubernetes RBAC授权

Kubernetes 安全框架

K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持 插件方式,通过API Server配置来启用插件。

1. Authentication(鉴权)

K8s Apiserver提供三种客户端身份认证:

• HTTPS 证书认证:基于CA证书签名的数字证书认证(kubeconfig)

• HTTP Token认证:通过一个Token来识别用户(serviceaccount)

• HTTP Base认证:用户名+密码的方式认证(1.19版本弃用)

2. Authorization(授权)

RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。

RBAC根据API请求属性,决定允许还是拒绝。

比较常见的授权维度

• user:用户名

• group:用户分组

• 资源,例如pod、 deployment

• 资源操作方法: get, list, create, update, patch, watch, delete

• 命名空间

• API组

3. Admission Control(准入控制)

Adminssion Control实际上是一个准入控制器插件列表, 发送到API Server的请求都需要经过这个列表中的每个准入控

制器插件的检查, 检查不通过, 则拒绝请求。

启用一个准入控制器:

kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger ...

关闭一个准入控制器:

kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny ...

查看默认启用:

kubectl exec kube-apiserver-k8s-master -n kube-system -- kube-apiserver -h | grep enable-admission-plugins

Kubernetes安全_kubernetes

基于角色的权限访问控制: RBAC

RBAC(Role-Based Access Control,基于角色的访问控制),是K8s默认授权策略,并且是动态配置策略(修改即时生效)。

主体(subject)

• User:用户

• Group:用户组

• ServiceAccount:服务账号

角色

• Role:授权特定命名空间的访问权限

• ClusterRole:授权所有命名空间的访问权限

角色绑定

• RoleBinding:将角色绑定到主体(即subject)

• ClusterRoleBinding:将集群角色绑定到主体

Kubernetes安全_kubernetes_02

注: RoleBinding在指定命名空间中执行授权, ClusterRoleBinding在集群范围执行授权。

RBAC授权案例

    为指定用户授权访问不同命名空间权限,例如新入职一个小弟,希望让他先熟悉K8s集群,为了 安全性,先不能给他太大权限,因此先给他授权访问default命名空间Pod读取权限。

实施大致步骤:

1. 用K8S CA签发客户端证书

2. 生成kubeconfig授权文件

3. 创建RBAC权限策略

4. 指定kubeconfig文件测试权限: kubectl get pods --kubeconfig=./aliang.kubeconfig

为指定用户授权访问不同命名空间权限

生成kubeconfig授权文件:

# 设置集群 

kubectl config set-cluster kubernetes \
--certificate-authority=/etc/kubernetes/pki/ca.crt \
--embed-certs=true \
--server=https://192.168.31.61:6443 \    #masterIP
--kubeconfig=aliang.kubeconfig

# 设置客户端认证 

kubectl config set-credentials aliang \
--client-key=aliang-key.pem \
--client-certificate=aliang.pem \
--embed-certs=true \
--kubeconfig=aliang.kubeconfig

# 设置默认上下文 

kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=aliang \
--kubeconfig=aliang.kubeconfig

# 设置当前使用配置

kubectl config use-context kubernetes --kubeconfig=aliang.kubeconfig

创建角色(权限集合):

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: default
name: pod-reader
rules:
- apiGroups: [“” ] # api组,例如apps组,空值表示是核心API组,像namespace、 pod、 service、 pv、 pvc都在里面
resources: [“pods” ] #资源名称(复数),例如pods、 deployments、 services
verbs: [“get” , “watch” , “list” ] # 资源操作方法

将用户与角色绑定:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
namespace: default
subjects:
- kind: User # 主体
name: jane # 主体名称
apiGroup: rbac.authorization.k8s.io
roleRef: # 绑定的角色
kind: Role
name: pod-reader # 角色名称
apiGroup: rbac.authorization.k8s.io

Kubernetes安全_RBAC授权_03

认证流程

ServiceAccount(服务账号)简称SA,用于让集群内Pod访问k8s  Api。授权方式与kubeconfig方式一样。

示例:为一个服务账号分配只能创建deployment、 daemonset、 statefulset的权限

# 创建服务账号

kubectl create serviceaccount cicd-token -n app-team1

# 创建集群角色 

kubectl create clusterrole deployment-clusterrole \
--verb=create --resource=deployments,daemonsets,statefulsets

# 将服务账号绑定角色 

kubectl create rolebinding cicd-token \
--serviceaccount=app-team1:cicd-token \
--clusterrole=deployment-clusterrole -n app-team1

# 测试服务账号权限 

kubectl --as=system:serviceaccount:app-team1:cicd-token \
get pods -n app-team1

以上命令对应yaml文件

apiVersion: v1
kind: ServiceAccount
metadata:
  name: cicd-token
  namespace: app-team1
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: deployment-clusterrole
rules:
- apiGroups: ["apps"]
  resources: ["deployments","daemonsets","statefulsets"]
  verbs: ["create"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: cicd-token
  namespace: app-team1
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: deployment-clusterrole
subjects:
- kind: ServiceAccount
  name: cicd-token
  namespace: app-team1

网络访问控制

网络访问控制应用场景

默认情况下, Kubernetes 集群网络没任何网络限制, Pod 可以与任何其他 Pod 通信,在 某些场景下就需要进行网络控制,减少网络攻击面,提高安全性,这就会用到网络策略。

网络策略(Network Policy):是一个K8s资源,用于限制Pod出入流量,提供Pod级别和

Namespace级别网络访问控制。

网络策略的应用场景(偏重多租户下)

• 应用程序间的访问控制,例如项目A不能访问项目B的Pod

• 开发环境命名空间不能访问测试环境命名空间Pod

• 当Pod暴露到外部时,需要做Pod白名单

网络策略概述

Kubernetes安全_docker_04

  

podSelector:目标Pod,根据标签选择。
policyTypes:策略类型,指定策略用于入站、出站流量。
Ingress: from是可以访问的白名单,可以来自于IP段、命名空间、 Pod标签等, ports是可以访问的端口。
Egress:这个Pod组可以访问外部的IP段和端口

网络策略工作流程

1、创建Network Policy资源

2、 Policy Controller监控网络策略,同步并通知节点上程序

3、节点上DaemonSet运行的程序从etcd中获取Policy,调用本 地Iptables创建防火墙规则

Kubernetes安全_RBAC授权_05

网络访问控制3个案例

案例1:拒绝其他命名空间Pod访问

需求: test命名空间下所有pod可以互相访问,也可以访问其他命 名空间Pod,但其他命名空间不能访问test命名空间Pod。

测试:

kubectl run busybox --image=busybox -n test -- sleep 12h
kubectl run web --image=nginx -n test

# 可以访问

kubectl exec busybox -n test -- ping <同命名空间pod IP>

# 不能访问(在default命名空间测试访问test命名空间pod web)

kubectl exec busybox -- ping <test命名空间pod IP>

对应的yaml

Kubernetes安全_k8s安全_06

案例2:同一个命名空间下应用之间限制访问

需求:将test命名空间携带run=web标签的Pod隔离,只允许携 带run=client1标签的Pod访问80端口。

测试: 

kubectl run web --image=nginx -n test
kubectl run client1 --image=busybox -n test -- sleep 12h

# 可以访问

kubectl exec client1 -n test -- wget <test命名空间pod IP>

# 不能访问

kubectl exec busybox -- wget <test命名空间pod IP>

对应yaml文件

Kubernetes安全_k8s安全_07

案例3:只允许指定命名空间中的应用访问

需求: 只允许dev命名空间中的Pod访问prod命名空间中的pod 80端口

命名空间打标签:

kubectl label namespace dev name=dev

测试:

kubectl run busybox --image=busybox -n dev -- sleep 12h

# 可以访问

kubectl exec busybox -n dev -- wget <test命名空间pod IP>

# 不可以访问

kubectl exec busybox -- wget <test命名空间pod IP>

对应yaml文件

Kubernetes安全_kubernetes_08