网上很少有地方涉及到在角色授权时,如何对User Group授权。我们都知道在做角色绑定的时候,会有kind: User,kind: Group,但是实际上,Kubernetes并没有提供User、Group资源创建接口,那这两个怎么使用呢?下面以一个实例来说明一下

前提条件:kube-apiserver必须是运行在安全端口模式下,这里基于CA根证书签名的双向数字证书认证方式。

1、先创建Role

role-demo.yaml 内容如下:

apiVersion: rbac.authorization.k8s.io/v1

kind: Role

metadata:

  name: pods-reader

  namespace: default

rules:

- apiGroups:

  - ""

  resources:

  - pods

  verbs:

  - get

  - list

  - watch

2、绑定角色,将权限授予到真正角色上

编辑rolebinding-demo.yaml

apiVersion: rbac.authorization.k8s.io/v1

kind: RoleBinding

metadata:

    creationTimestamp: null

    name: kubelet-read-pods

roleRef:

    apiGroup: rbac.authorization.k8s.io

    kind: Role

    name: pods-reader

subjects:

- apiGroup: rbac.authorization.k8s.io

    kind: Group

    name: app1

这里将赋予组app1只能查看namespace为default的pod权限。Kind也可以为user。

3、创建用户和组

现在就可以创建用户和组,CA的方式通过openssl就可以做到

3.1 创建用户jbeda,并同时属于组app1、app2

openssl    genrsa -out jbeda.key 2048

openssl req -new -key jbeda.key -out jbeda.csr -subj "/CN="

openssl x509 -req -in jbeda.csr -CA   ca.crt -CAkey ca.key -CAcreateserial -out jbeda.crt -days 365

 jbeda.key、jbeda.crt 复制到/etc/kubernetes/ssl/目录下

l  jbeda/O=app1/O=app2 这个代表创建了用户jbeda,且该用户属于组app1、app2

l  ca.crt ca.key是根证书,这个是为kube-apiserver创建的,所有的客户端都是利用它签名的。这里不重复它的创建过程。

3.2 测试权限

Ø  配置使用的调用接口使用的角色

这里使用kubectl,编译~/.kube/config

apiVersion: v1

kind: Config

clusters:

  -   cluster:

       server: https://10.8.8.27:6443

       certificate-authority: /etc/kubernetes/ssl/ca.crt

      name: local

users:

 -   name: jbeda

     user:

       client-certificate : /etc/kubernetes/ssl/jbeda.crt

       client-key: /etc/kubernetes/ssl/jbeda.key

contexts:

  -   context:

        cluster: local

        user: jbeda

      name: local

current-context: local

Ø  查看pod

image.png

查看kubectl当前使用的config

image.png

可以看到只能查看namespace为default下的pod信息

RBAC还可以用service account的方式认证,网上有太多资料,这里不多做介绍。