Kubernetes入门至精通Kubernetes集群安全鉴

　　Authorization
　　上面认证过程，只是确认通信的双方都确认了对方是可信的，可以相互通信。而鉴权是确定请求方有哪些资源的权限。APIServer目前支持以下几种授权策略（通过APIServer的启动参数authorizationmode设置）AlwaysDeny：表示拒绝所有的请求，一般用于测试AlwaysAllow：允许接收所有请求，如果集群不需要授权流程，则可以采用该策略ABAC（AttributeBasedAccessControl）：基于属性的访问控制，表示使用用户配置的授权规则对用户请求进行匹配和控制Webhook：通过调用外部REST服务对用户进行授权RBAC（RoleBasedAccessControl）：基于角色的访问控制，现行默认规则RBAC授权模式
　　RBAC（RoleBasedAccessControl）基于角色的访问控制，在Kubernetes1。5中引入，现行版本成为默认标准。相对其它访问控制方式，拥有以下优势：对集群中的资源和非资源均拥有完整的覆盖整个RBAC完全由几个API对象完成，同其它API对象一样，可以用kubectl或API进行操作可以在运行时进行调整，无需重启APIServer
　　I、RBAC的API资源对象说明
　　RBAC引入了4个新的顶级资源对象：Role、ClusterRole、RoleBinding、ClusterRoleBinding，4种对象类型均可以通过kubectl与API操作
　　需要注意的是Kubenetes并不会提供用户管理，那么User、Group、ServiceAccount指定的用户又是从哪里来的呢？Kubenetes组件（kubectl、kubeproxy）或是其他自定义的用户在向CA申请证书时，需要提供一个证书请求文件｛CN：admin，hosts：〔〕，key：｛algo：rsa，size：2048｝，names：〔｛C：CN，ST：HangZhou，L：XS，O：system：masters，OU：System｝〕｝
　　APIServer会把客户端证书的CN字段作为User，把names。O字段作为Group
　　kubelet使用TLSBootstaping认证时，APIServer可以使用BootstrapTokens或者Tokenauthenticationfile验证token，无论哪一种，Kubenetes都会为token绑定一个默认的User和Group
　　Pod使用ServiceAccount认证时，serviceaccounttoken中的JWT会保存User信息
　　有了用户信息，再创建一对角色角色绑定（集群角色集群角色绑定）资源对象，就可以完成权限绑定了RoleandClusterRole
　　在RBACAPI中，Role表示一组规则权限，权限只会增加（累加权限），不存在一个资源一开始就有很多权限而通过RBAC对其进行减少的操作；Role可以定义在一个namespace中，如果想要跨namespace则可以创建ClusterRolekind：RoleapiVersion：rbac。authorization。k8s。iov1beta1metadata：namespace：defaultname：podreaderrules：apiGroups：〔〕indicatesthecoreAPIgroupresources：〔pods〕verbs：〔get，watch，list〕
　　ClusterRole具有与Role相同的权限角色控制能力，不同的是ClusterRole是集群级别的，ClusterRole可以用于：集群级别的资源控制（例如node访问权限）非资源型endpoints（例如health访问）所有命名空间资源控制（例如pods）kind：ClusterRoleapiVersion：rbac。authorization。k8s。iov1beta1metadata：namespaceomittedsinceClusterRolesarenotnamespacedname：secretreaderrules：apiGroups：〔〕resources：〔secrets〕verbs：〔get，watch，list〕RoleBindingandClusterRoleBinding
　　RoloBinding可以将角色中定义的权限授予用户或用户组，RoleBinding包含一组权限列表（subjects），权限列表中包含有不同形式的待授予权限资源类型（users，groups，orserviceaccounts）；RoloBinding同样包含对被Bind的Role引用；RoleBinding适用于某个命名空间内授权，而ClusterRoleBinding适用于集群范围内的授权
　　将default命名空间的podreaderRole授予jane用户，此后jane用户在default命名空间中将具有podreader的权限kind：RoleBindingapiVersion：rbac。authorization。k8s。iov1beta1metadata：name：readpodsnamespace：defaultsubjects：kind：Username：janeapiGroup：rbac。authorization。k8s。ioroleRef：kind：Rolename：podreaderapiGroup：rbac。authorization。k8s。io
　　RoleBinding同样可以引用ClusterRole来对当前namespace内用户、用户组或ServiceAccount进行授权，这种操作允许集群管理员在整个集群内定义一些通用的ClusterRole，然后在不同的namespace中使用RoleBinding来引用
　　例如，以下RoleBinding引用了一个ClusterRole，这个ClusterRole具有整个集群内对secrets的访问权限；但是其授权用户dave只能访问development空间中的secrets（因为RoleBinding定义在development命名空间）Thisrolebindingallowsdavetoreadsecretsinthedevelopmentnamespace。kind：RoleBindingapiVersion：rbac。authorization。k8s。iov1beta1metadata：name：readsecretsnamespace：devThisonlygrantspermissionswithinthedevelopmentnamespace。subjects：kind：Username：daveapiGroup：rbac。authorization。k8s。ioroleRef：kind：ClusterRolename：secretreaderapiGroup：rbac。authorization。k8s。io
　　使用ClusterRoleBinding可以对整个集群中的所有命名空间资源权限进行授权；以下ClusterRoleBinding样例展示了授权manager组内所有用户在全部命名空间中对secrets进行访问Thisclusterrolebindingallowsanyoneinthemanagergrouptoreadsecretsinanynamespace。kind：ClusterRoleBindingapiVersion：rbac。authorization。k8s。iov1beta1metadata：name：readsecretsglobalsubjects：kind：Groupname：managerapiGroup：rbac。authorization。k8s。ioroleRef：kind：ClusterRolename：secretreaderapiGroup：rbac。authorization。k8s。ioResources
　　Kubernetes集群内一些资源一般以其名称字符串来表示，这些字符串一般会在API的URL地址中出现；同时某些资源也会包含子资源，例如logs资源就属于pods的子资源，API中URL样例如下GETapiv1namespaces｛namespace｝pods｛name｝log
　　如果要在RBAC授权模型中控制这些子资源的访问权限，可以通过分隔符来实现，以下是一个定义pods资资源logs访问权限的Role定义样例kind：RoleapiVersion：rbac。authorization。k8s。iov1beta1metadata：namespace：defaultname：podandpodlogsreaderrules：apiGroups：〔〕resources：〔pods，podslog〕verbs：〔get，list〕toSubjects
　　RoleBinding和ClusterRoleBinding可以将Role绑定到SSubjects可以是groups、users或者serviceaccounts
　　Subjects中Users使用字符串表示，它可以是一个普通的名字字符串，如也可以是email格式的邮箱地址，如wangyanglinux163。甚至是一组字符串形式的数字ID。但是Users的前缀system：是系统保留的，集群管理员应该确保普通用户不会使用这个前缀格式
　　Groups书写格式与Users相同，都为一个字符串，并且没有特定的格式要求；同样system：前缀为系统保留实践：创建一个用户只能管理dev空间｛CN：devuser，hosts：〔〕，key：｛algo：rsa，size：2048｝，names：〔｛C：CN，ST：BeiJing，L：BeiJing，O：k8s，OU：System｝〕｝下载证书生成工具wgethttps：pkg。cfssl。orgR1。2cfssllinuxamd64mvcfssllinuxamd64usrlocalbincfsslwgethttps：pkg。cfssl。orgR1。2cfssljsonlinuxamd64mvcfssljsonlinuxamd64usrlocalbincfssljsonwgethttps：pkg。cfssl。orgR1。2cfsslcertinfolinuxamd64mvcfsslcertinfolinuxamd64usrlocalbincfsslcertinfocfsslgencertcaca。crtcakeyca。keyprofilekubernetesrootdevusercsr。jsoncfssljsonbaredevuser设置集群参数exportKUBEAPISERVERhttps：192。168。88。11：6443kubectlconfigsetclusterkubernetescertificateauthorityca。crtembedcertstrueserver｛KUBEAPISERVER｝kubeconfigdevuser。kubeconfig设置客户端认证参数kubectlconfigsetcredentialsdevuserclientcertificatedevuser。pemclientkeydevuserkey。pemembedcertstruekubeconfigdevuser。kubeconfig设置上下文参数kubectlconfigsetcontextkubernetesclusterkubernetesuserdevusernamespacedevkubeconfigdevuser。kubeconfig设置默认上下文kubectlconfigusecontextkuberneteskubeconfigdevuser。kubeconfigcpf。devuser。kubeconfigroot。kubeconfigkubectlcreaterolebindingdevuseradminbindingclusterroleadminuserdevusernamespacedev