51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

什么是Kubernetes RBAC?为什么需要它?

译文
作者: 李睿
云计算
了解Kubernetes RBAC及其实现对于在组织中实践多租户至关重要。

译者 | 李睿

审校 | 重楼

什么是Kubernetes RBAC?

当组织开始走上Kubernetes之旅时,在通常情况下,他们希望实现最低权限角色和适当的授权来保护他们的基础设施。这就是实现Kubernetes RBAC以保护Kubernete资源的地方,例如敏感数据,包括部署细节、持久存储设置和机密。Kubernetes RBAC提供了控制谁能够以何种访问方式访问每个API资源的能力。组织可以为人类用户(个人或组)和非人类用户(服务帐户)使用RBAC来定义他们对各种Kubernetes资源的访问类型。

例如,有Dev、Staging和Production三个不同的环境,必须向团队(例如开发人员、DevOps人员、SRE、应用程序所有者和产品经理)提供访问权限。

在开始之前需要强调一下,从抽象的角度来看,将把用户和服务帐户视为相同的——每个请求,无论是来自用户还是服务帐户,最终都是HTTP请求。人们知道Kubernetes中的用户和服务帐户(针对非人类用户)本质上是不同的。

如何启用Kubernetes RBAC

可以在Kubernetes中启用RBAC,这种方法是启动带有授权模式标志的API服务器。用于向用户应用RBAC的Kubernetes资源有:

  • 角色(Role
  • 集群角色(ClusterRole
  • 角色绑定(RoleBinding
  • 集群角色绑定(ClusterRoleBinding

1.服务帐户

为了管理用户,Kubernetes提供了一种身份验证机制,但通常建议将Kubernetes与企业用户身份管理(如Active Directory或LDAP)集成在一起。当涉及到Kubernetes集群中的非人类用户(或机器或服务)时,就出现了服务帐户的概念。

例如,Kubernetes资源需要由Spinnaker或Argo等持续交付(CD)应用程序访问才能部署应用程序,或者服务A的一个pod需要与服务B的另一个pod对话。在这种情况下,服务帐户用于创建非人类用户的帐户并指定所需授权(使用角色绑定或集群角色绑定)。

可以通过创建如下所示的yaml来创建一个服务帐户:

YAML 
 apiVersion: v1
 kind: ServiceAccount
 metadata:
  name: nginx-sa
 spec: 
  automountServiceAccountToken: false

然后应用它。

Shell 
 $ kubectl apply -f nginx-sa.yaml
 serviceaccount/nginx-sa created

现在,必须为部署资源中的pod提供服务帐户。

YAML 
 kind: Deployment
 metadata:
  name: nginx1
 labels:
  app: nginx1
 spec:
  replicas: 2
  selector:
  matchLabels:
  app: nginx1
 template:
  metadata:
  labels:
  app: nginx1
  spec:
  serviceAccountName: nginx-sa
  containers:
  - name: nginx1
  image: nginx
  ports:
  - containerPort: 80

如果没有在部署资源中指定服务帐户名称(serviceAccountName),那么pod将属于默认的服务帐户。需要注意的是,每个命名空间都有一个默认的服务帐户,集群也有一个默认的服务帐户。默认服务帐户的所有默认授权策略将应用于未提及服务帐户信息的pod。

以下可以看到如何使用角色绑定和集群角色绑定为服务帐户分配各种权限。

2.角色和集群角色

角色(Role)和集群角色(ClusterRole)是Kubernetes资源分别用于定义用户可以在命名空间或集群中执行的操作列表。

在Kubernetes中,参与者(如用户、组或服务帐户)被称为主题。主体的动作,如创建、读取、写入、更新和删除,称为操作

YAML 
 apiVersion: rbac.authorization.k8s.io/v1
 kind: Role
 metadata:
  name: read-only
  namespace: dev-namespace
 rules:
 - apiGroups:
 - ""
  resources: ["*"]
 verbs:
 - get
  - list
 - watch

在上面的角色资源中,指定了只读角色仅适用于deb-ns命名空间和命名空间内的所有资源。任何绑定到只读角色的服务帐户或用户都可以执行这些操作——获取、列出和监视。

类似地,集群角色(资源将允许创建与集群相关的角色。下面是一个例子:

YAML 
 apiVersion: rbac.authorization.k8s.io/v1
 kind: ClusterRole
 metadata:
 name: chief-role
 rules:
 - apiGroups:
 - ""
 resources: ["*"]
 verbs:
 - get
 - list
 - watch
 - create
 - update
 - patch
 - delete

任何绑定到chief-role的用户/组/服务帐户都可以在集群中执行任何操作。

在下一节中,将看到如何使用角色绑定和集群角色绑定向主题授予角色。

另外,Kubernetes允许使用角色资源配置自定义角色,或者使用默认的面向用户的角色,如下所示:

  • 集群管理员(Cluster-admin):对于集群管理员,Kubernetes提供了一个超级用户角色。集群管理员可以对集群中的任何资源执行任何操作。可以在集群角色绑定中使用超级用户来授予对集群(和所有命名空间)中的每个资源的完全控制权,也可以在角色绑定中使用超级用户来授予对各自命名空间中的每个资源的完全控制权。
  • 管理员(Admin):Kubernetes提供了一个管理员角色,允许对命名空间内的资源进行无限制的读/写访问。管理员角色可以在特定的命名空间内创建角色和角色绑定。它不允许对命名空间本身进行写访问。这可以在角色绑定资源中使用。
  • 编辑(Edit):编辑角色在给定的Kubernetes命名空间内授予读/写访问权限它无法查看或修改角色或角色绑定。
  • 视图(View):视图角色允许在给定的命名空间内进行只读访问。它不允许查看或修改角色或角色绑定。

3.角色绑定和集群角色绑定

要将角色应用于主题(用户/组/服务帐号),必须定义角色绑定。这将使用角色配置中定义的权限为用户提供对命名空间内所需资源的最低权限访问。

YAML 
 apiVersion: rbac.authorization.k8s.io/v1beta1
 kind: RoleBinding
 metadata:
 name: Role-binding-dev
 roleRef:
  kind: Role
 name: read-only #The role name you defined in the Role configuration
  apiGroup: rbac.authorization.k8s.io
 subjects:
 - kind: User
  name: Roy #The name of the user to give the role to
 apiGroup: rbac.authorization.k8s.io
 - kind: ServiceAccount
  name: nginx-sa#The name of the ServiceAccount to give the role to
 apiGroup: rbac.authorization.k8s.io

类似地,可以创建集群角色绑定资源来定义用户的角色。需要注意的是,使用了Kubernetes提供的默认超级用户集群角色引用,而不是使用自定义角色。这可以应用于集群管理员。

YAML 
 apiVersion: rbac.authorization.k8s.io/v1beta1
 kind: ClusterRoleBinding
 metadata:
  name: superuser-binding
 roleRef:
  kind: ClusterRole
 name: superuser
 apiGroup: rbac.authorization.k8s.io
 subjects:
 - kind: User
 name: Aditi
 apiGroup: rbac.authorization.k8s.io

Kubernetes RBAC的好处

Kubernetes RBAC的优势在于它允许“原生”实现对集群中各种用户和机器的最小权限。主要的好处是:

1.适当的授权

通过对各种用户和服务帐户授予Kubernetes资源的最小权限,DevOps和架构师可以实现零信任的主要支柱之一。组织可以减少数据泄露和数据泄露的风险,还可以避免内部员工意外删除或操纵任何关键资源。

2.职责分离

在Kubernetes资源上应用RBAC将始终有助于组织中用户(例如开发人员、DevOps、测试人员、SRE等)的职责分离。例如,为了在开发环境中创建/删除新资源,开发人员不应该依赖于管理员。同样,将新应用程序部署到测试服务器并在测试后删除pod不应该成为DevOps或测试人员的瓶颈。将授权和权限应用到用户(如开发人员和CI/CD部署代理)各自的工作空间(如命名空间或集群)将减少依赖并减少懈怠。

3.100%遵守法规

许多行业法规(例如HIPAA、GDPR、SOX等)都要求软件领域有严格的认证和授权机制。使用Kubernetes RBAC,DevOps和架构师可以快速地将RBAC实现到他们的Kubernetes集群中,并改进他们的设置以遵守这些标准。

Kubernetes RBAC的缺点

对于中小型企业来说,使用Kubernetes RBAC是合理的,但不建议使用Kubernetes RBAC,其原因如下:

  • 可能有许多用户和机器,并且应用Kubernetes RBAC可能难以实现和维护。
  • 很难看到谁执行了什么操作。例如,大型企业可能需要诸如违反RBAC权限或恶意尝试之类的信息。

原文标题:What Is Kubernetes RBAC and Why Do You Need It?,作者:Debasree Panda

责任编辑:华轩 来源: 51CTO
Kubernetes
相关推荐
什么磁盘克隆软件?为什么需要
磁盘克隆是一个将每个字节的信息从一个计算机磁盘上完整复制到另一个磁盘上的过程。通常,第一个磁盘的内容被写到一个镜像文件中是一个中间的步骤,然后再用镜像内容生成第二个磁盘。

2017-07-18 09:02:05

磁盘克隆软件
什么TPM,为什么Windows 11需要
到现在你可能已经知道微软的新操作系统Windows11需要TPM芯片,但是为什么Windows11需要TPM芯片,它的目的是什么。

2021-10-09 22:10:30

Windows 11Windows微软
什么AI透明度,为什么我们需要
我们可能完全不知道到最终AI算法底会进化成什么样,是否会造成严重的后果,一切皆有可能……

2020-09-17 14:32:52

AI
什么容器?为什么我们关注
容器解决了这个问题。正如Docker解释的,“容器镜像是软件的一个轻量的、独立的、可执行的包,包括了执行它所需要的所有东西:代码、运行环境、系统工具、系统库、设置。”

2018-03-22 14:47:13

容器开发人员笔记本
什么物联网咨询服务,以及您为什么需要
物联网顾问可帮助企业了解物联网技术,提供路线图以借助物联网技术降低企业成本、优化流程并改进产品和服务。一些物联网咨询公司还提供技术开发服务来构建物联网解决方案。

2021-09-23 10:00:37

物联网咨询服务物联网IOT
什么“超大规模物联网连接”,为什么需要
近日,TransformaInsights发布了一份题为“超大规模物联网连接可为企业节省28%的全球连接成本”的白皮书。

2021-03-05 16:17:48

物联网连接物联网IOT
物联网模块是什么为什么需要呢?
说到物联网模块,LTECat1,LTECatM1,LTECatNBIoT......这些都有听说过吧,cat是“类别”的缩写,是指低功耗广域4G无线技术的新标准。

2019-08-01 07:48:27

物联网模块物联网IOT
什么Python Wheels?为什么要关心
Python.whl文件(或wheels)是Python中很少讨论的一部分,但是它们对Python包的安装过程非常重要。如果您已经使用pip安装了Python包,那么很有可能是轮子(wheels)使安装速度更快、效率更高了。

2020-08-10 15:48:01

Python轮子计算
什么数据智能,为什么很重要?
数据是当今世界上最有价值的资源之一。它是本世纪的货币,知道如何管理和使用数据的公司发现它很容易增长。

2022-08-24 15:03:21

数据智能数据分析
什么移动虚拟化 为什么很重要
虚拟化通常不会被认为是最时髦的话题,但它是如此的拥有吸引力,尤其是考虑到巨大的移动市场——那些使用智能手机和大量应用程序的用户。包里装着两个手机的情况并不少见。人们通常需要一台手机用于工作,而另一台供私人使用。移动设备上的虚拟化意味着在一个带有虚拟分区的智能手机便可以满足用户在工作和个人生活中同时使用。

2010-10-26 13:44:15

什么可观察性?为什么很重要?
可观察性是一种新的系统监视方法,其提供了对系统性能的更大可见性,并有助于快速识别和解决问题。

2022-12-29 10:16:12

观察性系统监视
什么Wi-Fi?为什么如此重要?
WiFi一词是二十多年前创建的,旨在使本地无线网络易于公众理解。如今,WiFi技术无处不在,使所有人都可以无线连接家庭和办公室,并促进了智能设备的爆炸式增长。

2023-10-08 14:36:59

什么数字孪生技术?为什么很重要?
虚拟孪生为企业提供了可视化模型和模拟复杂体验的能力,而数字孪生的解决方案是静态的。虚拟孪生本质上向制造商展示了什么可以在现实世界中执行和实现,其主要重点是提供可操作的解决方案来提高效率。

2022-11-15 14:52:09

虚拟孪生数字孪生
什么工作场所连接?为什么很重要?
在当今快节奏的数字时代,工作场所的连接性是生产力和效率的基石。但它究竟意味着什么为什么它如此重要?本文将深入研究工作场所连接的复杂性,探索其意义、好处和实际应用。

2024-04-22 15:31:02

物联网
为什么需要 Kubernetes 准入控制器
Kubernetes准入控制器是集群管理必要功能。这些控制器主要在后台工作,并且许多可以作为编译插件使用,它可以极大地提高部署的安全性。

2022-05-27 08:55:33

Kubernetes集群
什么身联网 (IoB),为什么需要关心?
本文将详细介绍IoB在医疗保健和健康领域的优势和应用,并剖析围绕身联网和医疗物联网解决方案的隐私和安全问题。让我们开始吧!

2022-09-15 20:57:55

身联网IoB物联网
苹果快充扫盲:我们为什么需要
去年,iPhone11Pro系列正式和“5V1A”挥手作别。凭借苹果对市场的号召力,PD快充再次迎来了一波发育期,市面上出现了各种各样的PD快充产品,但很多消费者依然对它的概念非常模糊。在这篇文章里,会对部分问题进行解答。

2020-07-30 11:51:48

快充PD协议iPhone
什么网络安全以及为什么很重要?
网络安全是指用于保护计算机、网络、数据和数字系统免遭未经授权的访问、盗窃、损坏或破坏的实践、技术和流程。随着我们对技术的依赖不断扩大,网络安全在保护敏感信息和维持,对数字资产的信任方面的重要性变得越来越重要。

2023-07-20 10:59:04

为什么Kubernetes很酷?
在我使用Kubernetes全职工作了三个多月后,我才逐渐明白了为什么我应该使用它。(我距离成为一个Kubernetes专家还很远!)希望这篇文章对你理解Kubernetes能做什么会有帮助!

2018-04-10 13:40:14

Kubernetes容器服务器
基于欺骗的勒索软件检测:它是什么以及为什么需要
您希望有机会加密网络数据存储和存储在其中的关键任务数据之前阻止勒索软件。但需要跟上勒索软件创新的步伐可能会是一个挑战。它需要同样创新方法来保护:使用欺骗技术。

2019-03-11 09:44:09

欺骗勒索软件攻击
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服