👨💻簡介
在當今的雲計算時代,容器化和微服務架構成為了重要趨勢。Kubernetes,作為領先的容器編排平台,提供了強大的功能來管理和部署應用程式。然而,隨著應用程式和用戶的增加,有效管理誰可以對 Kubernetes 集群執行何種操作變得至關重要。這裡,RBAC (Role-Based Access Control) 機制起到了關鍵作用。
🔰基礎介紹
什麼是 RBAC: RBAC 可以根據角色對用戶進行細粒度的權限管理。它基於三個主要概念:角色(Role)、角色綁定(RoleBinding)和主體(Subjects)。角色 (Role) 和 ClusterRole
- 角色 (Role):定義了一組權限,這些權限表示對特定 Kubernetes 資源的操作,如建立、讀取、更新和刪除。
- ClusterRole:與 Role 類似,但它適用於整個集群範圍,而不是單個命名空間。ClusterRole 可以用來賦予對集群級資源的訪問權限,或者跨所有命名空間的特定資源。
角色綁定 (RoleBinding) 和 ClusterRoleBinding
- 角色綁定 (RoleBinding):將角色的權限賦予給特定的主體。
- ClusterRoleBinding:類似於 RoleBinding,但它將 ClusterRole 的權限賦予給整個集群的主體,而不是特定命名空間的主體。
主體 (Subjects)
可以是用戶、群組或服務帳號。
為什麼要在 Kubernetes 中使用 RBAC?
在 Kubernetes 中,RBAC 使得管理大型、多用戶的集群變得更為安全和方便。它確保了只有合適的用戶和服務能夠訪問關鍵的 Kubernetes 資源,從而降低了安全風險。
如何使用 RBAC
要開始使用 RBAC,首先要在 Kubernetes 集群中建立角色。例如,你可能有一個角色,只允許對 Pod 資源進行讀取操作。
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: default
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: read-pods
namespace: default
subjects:
- kind: User
name: alan
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io
在這個例子中,用戶 alan 獲得了在默認命名空間中讀取 Pod 的權限。
同樣,ClusterRole 和 ClusterRoleBinding 也可以被定義以授予對集群範圍資源的訪問權限。以下是 ClusterRole 的一個範例,它允許對集群中所有命名空間的服務進行監視:
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
# "name" is the name of the ClusterRole
name: service-watcher
rules:
- apiGroups: [""]
resources: ["services"]
verbs: ["get", "list", "watch"]
詳解 Resources 和 Verbs
在 Kubernetes 的 RBAC 中,resources 和 verbs 是設定角色權限時的關鍵要素。
Resources
指的是在 Kubernetes 中可以操作的各種資源類型,如 pods, services, deployments 等。每種資源都有特定的屬性和相關操作。
Verbs
定義了對這些資源可以執行的操作。常見的 verbs 包括:
get:獲取單個資源的詳細訊息。list:列出所有資源或某個集合的資源。create:建立新的資源。update:更新現有資源。patch:更新部分資源。watch:監聽資源的變化。delete:刪除資源。deletecollection:刪除資源集合。
理解這些 resources 和 verbs 對於建立符合特定需求的角色至關重要。例如,如果想建立一個只能查看 Pod 訊息但不能修改的角色,將需要選擇相應的 resources 和 verbs 組合。
最佳實踐
- 最小權限原則: 僅賦予必要的最小權限,避免過度授權。
- 定期審核: 定期檢查和審核角色和角色綁定,確保它們符合當前的安全政策。
- 命名空間層級的管理: 利用命名空間對權限進行隔離和細分,確保不同團隊或應用之間的權限界限清晰。
- 集群範圍的權限控制: 使用 ClusterRole 和 ClusterRoleBinding 來管理跨命名空間或集群級資源的訪問。
