1. 先抛需求
当一个 K8s 集群需要被多个租户共享时,就涉及到了权限问题,比如你是管理员,这时候你会面临着“给每个用户分配一个 Namespace”类似的需求。
更进一步,可能你需要限制特定用户只能够对集群进行特定的操作,比如不能让“张三”有机会执行 kubectl delete node <NODE_NAME>
这种 sao 命令。
在上一篇文章《通过 VS Code 优雅地编辑 Pod 内的代码(非 NodePort)》中我们讲到怎样在不暴露一堆 NodePort 的前提下,通过 VS Code 更新 Pod 内的代码。VS Code 里去 Attach Pod 其实也是用的本地 kubeconfig 来和 apiserver 通信,进而操作到 Pod。换言之,要实现“多租户通过 VS Code 连接自己的 Pod”这个需求,也涉及到给不同租户创建合适的“最小权限 kubeconfig”。行,今天就来解决这个问题。
2. RBAC 配置
整体就两步,先倒腾 RBAC,然后倒腾 kubeconfig。我们先来看 RBAC吧。
2.1. K8s 里的 RBAC 机制介绍
先复习下 K8s 里的 RBAC 机制。
(这时候需要用到 GPT 了。)
-
我:Hello ChatGPT,用中文总结下 K8s 里的 RBAC 是个啥。
-
ChatGPT:
在 Kubernetes 中,RBAC 是一种强大的访问控制机制,用于管理对集群资源的访问权限。RBAC 可以帮助管理员精确地控制用户、ServiceAccount 或其他实体对 Kubernetes API 中资源的操作权限。RBAC 基于角色的授权模型使得管理员可以定义角色和角色绑定,从而实现对不同用户或实体的访问权限控制。
RBAC 由四个基本概念组成:
角色(Role):角色定义了一组操作权限,例如对某个命名空间下资源的读取、创建或删除等操作。
角色绑定(RoleBinding):角色绑定将特定的角色授予 User、Group 或者 ServiceAccount,从而赋予它们相应的权限。
集群角色(ClusterRole):类似于角色,但作用范围更广,可以授权对整个集群中资源的操作权限。
集群角色绑定(ClusterRoleBinding):将集群角色绑定给 User、Group 或者 ServiceAccount,授予它们在整个集群范围内的权限。
通过 RBAC,管理员可以根据需求精确控制不同用户或实体在集群中的权限范围,避免了不必要的权限泄露或误操作,提高了集群的安全性和管理灵活性。
行,就总结到这里,接着我们要实操了。
2.2 创建 ServiceAccount、Role、RoleBinding 和 Secret
-
ServiceAccount:以用户 user1 为例,来一个 user1-account
apiVersion: v1
kind: ServiceAccount
metadata:
name: user1-account
namespace: default
-
Role:继续来一个 user1-role
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: user1-role
namespace: default
rules:
- apiGroups: [""]
resources: ["pods", "pods/exec"]
verbs: ["get", "list", "watch", "create", "delete", "update", "patch"]
这里就可以在 rules 下精细地控制这个角色所能够访问的资源、执行的操作了。如果需要集群维度资源的控制,比如 Node,那就得用到 ClusterRole 了,玩法类似,不赘述。
-
RoleBinding:把用户和角色绑起来
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: user1-access-default-namespace
namespace: default
subjects:
- kind: ServiceAccount
name: user1-account
namespace: default
roleRef:
kind: Role
name: user1-role
apiGroup: rbac.authorization.k8s.io
-
Secret:在 K8s 1.24 版本之后,ServiceAccount 对应的 Secret 就不会自动创建了。哎,手动搞吧
apiVersion: v1
kind: Secret
metadata:
name: user1-account-secret
annotations:
kubernetes.io/service-account.name: "user1-account"
type: kubernetes.io/service-account-token
这个 Secret 创建出来之后,K8s 会自动将 ServiceAccount 对应的 token 写进这个 Secret。
一顿 apply 操作之后,RBAC 相关的几个资源就都有了。前几个没啥好说的,Secret 的关键字段贴一下,大家感受下 K8s 在背地里偷偷干了些啥:
-
kgsec user1-account-secret -o yaml
apiVersion: v1
data:
ca.crt: LS0t……==
namespace: ZGVmYXVsdA==
token: ZXlKa……=
kind: Secret
metadata:
annotations:
kubernetes.io/service-account.name: user1-account
name: user1-account-secret
namespace: default
type: kubernetes.io/service-account-token
data 部分,发现了吗,ca.crt
和 token
信息被填进去了。这两段配置在后面要用到。
3. 配置 kubeconfig 文件
user1 的权限配置已经 OK 了,下一步就是将 token 搞到 kubeconfig 里。
3.1 kubeconfig 文件介绍
呵呵,老规矩,我这么懒的人,怎么可能自己总结。
-
ChatGPT:
kubeconfig 是 Kubernetes 的一个配置文件,它包含了访问 Kubernetes 集群所需的所有信息。这些信息包括集群的地址、用户证书、用户名和命名空间等。kubeconfig 文件使得用户和 CI/CD 工具可以方便地与 Kubernetes 集群进行交互。
kubeconfig 文件通常位于用户的主目录下的
.kube
目录中,文件名为config
。然而,用户也可以通过设置KUBECONFIG
环境变量来指定其他位置的 kubeconfig 文件。kubeconfig 文件主要由以下三部分组成:
集群(clusters):定义了要连接的 Kubernetes 集群的信息,包括集群的名称、服务器的地址和 CA 证书。
用户(users):定义了用户的认证信息,包括用户的名称、客户端证书和密钥。
上下文(contexts):定义了用户和集群之间的关系。一个上下文包含了一个用户和一个集群,以及用户在该集群中的默认命名空间。
通过在 kubeconfig 文件中定义不同的上下文,用户可以轻松地在不同的 Kubernetes 集群和命名空间之间切换。
稍显稚嫩,不过将就吧。关于 kubeconfig 是个啥的资料太多了,我就不过多啰嗦了。
贴一个 minikube 默认创建的 kubeconfig 文件:
apiVersion: v1
clusters:
- cluster:
certificate-authority: /Users/danielhu/.minikube/ca.crt
extensions:
- extension:
last-update: Wed, 13 Dec 2023 15:28:46 CST
provider: minikube.sigs.k8s.io
version: v1.32.0
name: cluster_info
server: https://127.0.0.1:60719
name: minikube
contexts:
- context:
cluster: minikube
extensions:
- extension:
last-update: Wed, 13 Dec 2023 15:28:46 CST
provider: minikube.sigs.k8s.io
version: v1.32.0
name: context_info
namespace: default
user: minikube
name: minikube
current-context: minikube
kind: Config
preferences: {}
users:
- name: minikube
user:
client-certificate: /Users/danielhu/.minikube/profiles/minikube/client.crt
client-key: /Users/danielhu/.minikube/profiles/minikube/client.key
总之就是 clusters
里定义一堆可用的集群信息,users
里定义一堆用户信息,然后在 contexts
里将 user 和 cluster 关联起来;最后通过切换 context
就可以实现切换“用户/集群”了。
3.2 具体的 kubeconfig 配置
前面创建的 Secret 里有一个 token
,将其复制出来备用。(这里要注意,别拿 base64 转码后的结果。kubectl get -o yaml
拿到的是 base64 编码的;kubectl describe
拿到的是原始的,你可以直接拿原始的,也可以拿编码后的自己 echo "xxx" | base64 -d
解码一下。
此外 Secret 里有一个 ca.crt
,这个 ca 的内容是集群维度统一的,你在其他地方复制也行,不过这里有,顺手拿一个也不打紧。这里需要是 base64 编码后的内容,注意这个细节。
然后准备这样一个 kubeconfig 文件:
apiVersion: v1
kind: Config
clusters:
- name: minikube1
cluster:
server: https://127.0.0.1:60719
certificate-authority-data: <ca.crt, base64>
users:
- name: user1-account
user:
token: <token>
contexts:
- name: user1-context
context:
cluster: minikube1
namespace: default
user: user1-account
注意几个细节:
-
clusters 下面的 name 记得不要和你系统内默认 config 中的 clusters 重名;
-
server 地址可以抄你的默认 config 里的配置;
-
ca 配置其实也是一样的,你的系统内有,复用配置也行;我这里选择贴一个 base64 版本的内容,为了不引入“外部文件”,方便分发;
-
token 填写前面准备的 token,非 base64。
3.3 kubeconfig 切换测试
最简单粗暴的办法,你可以直接备份 $HOME/.kube/config,然后将这个新文件替换进去,这样就能测试新的 kubeconfig 是不是正常工作了。
或者,你可以配置上 KUBECONFIG 环境变量,将新的 kubeconfig 保存路径追加进去。比如 mac 可以这样:
export KUBECONFIG=/Users/danielhu/.kube/config:/Users/danielhu/Work/test/kubeconfig
Windows 系统得用分号(;)。
这时候你再执行 kubectl config view
就可以看到一个 merge 之后的 kubeconfig 配置,也就是新的旧的 kubeconfig 都在一起了。
下一步,我推荐你用 kubectx来切换 context
:
-
kubectx
minikube
user1-context
-
kubectx user1-context
OK,这时候就能切换到新的 context 了。接着可以试下是不是只有 pods 能被操作到:
4. 总结
打完收工。没啥好总结的。See you next day.
文章转载自:胡说云原生
原文链接:https://www.cnblogs.com/daniel-hutao/p/17899757.html
体验地址:引迈 - JNPF快速开发平台_低代码开发平台_零代码开发平台_流程设计器_表单引擎_工作流引擎_软件架构