👨‍💻簡介

在當今的雲計算時代,容器化和微服務架構成為了重要趨勢。Kubernetes,作為領先的容器編排平台,提供了強大的功能來管理和部署應用程式。然而,隨著應用程式和用戶的增加,有效管理誰可以對 Kubernetes 集群執行何種操作變得至關重要。這裡,RBAC (Role-Based Access Control) 機制起到了關鍵作用。

🔰基礎介紹

什麼是 RBAC: RBAC 可以根據角色對用戶進行細粒度的權限管理。它基於三個主要概念:角色(Role)、角色綁定(RoleBinding)和主體(Subjects)。

  • 角色 (Role) 和 ClusterRole:

    • 角色 (Role):定義了一組權限,這些權限表示對特定 Kubernetes 資源的操作,如建立、讀取、更新和刪除。
    • ClusterRole:與 Role 類似,但它適用於整個集群範圍,而不是單個命名空間。ClusterRole 可以用來賦予對集群級資源的訪問權限,或者跨所有命名空間的特定資源。
  • 角色綁定 (RoleBinding) 和 ClusterRoleBinding:

    • 角色綁定 (RoleBinding):將角色的權限賦予給特定的主體。
    • ClusterRoleBinding:類似於 RoleBinding,但它將 ClusterRole 的權限賦予給整個集群的主體,而不是特定命名空間的主體。
  • 主體 (Subjects): 可以是用戶、群組或服務帳號。

為什麼要在 Kubernetes 中使用 RBAC?

在 Kubernetes 中,RBAC 使得管理大型、多用戶的集群變得更為安全和方便。它確保了只有合適的用戶和服務能夠訪問關鍵的 Kubernetes 資源,從而降低了安全風險。

如何使用 RBAC

要開始使用 RBAC,首先要在 Kubernetes 集群中建立角色。例如,你可能有一個角色,只允許對 Pod 資源進行讀取操作。

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: alan
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

在這個例子中,用戶 alan 獲得了在默認命名空間中讀取 Pod 的權限。

同樣,ClusterRole 和 ClusterRoleBinding 也可以被定義以授予對集群範圍資源的訪問權限。以下是 ClusterRole 的一個範例,它允許對集群中所有命名空間的服務進行監視:

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # "name" is the name of the ClusterRole
  name: service-watcher
rules:
- apiGroups: [""]
  resources: ["services"]
  verbs: ["get", "list", "watch"]

詳解 Resources 和 Verbs

在 Kubernetes 的 RBAC 中,resources 和 verbs 是設定角色權限時的關鍵要素。

  • Resources: 指的是在 Kubernetes 中可以操作的各種資源類型,如 pods, services, deployments 等。每種資源都有特定的屬性和相關操作。

  • Verbs: 定義了對這些資源可以執行的操作。常見的 verbs 包括:

    • get:獲取單個資源的詳細訊息。
    • list:列出所有資源或某個集合的資源。
    • create:建立新的資源。
    • update:更新現有資源。
    • patch:更新部分資源。
    • watch:監聽資源的變化。
    • delete:刪除資源。
    • deletecollection:刪除資源集合。

理解這些 resources 和 verbs 對於建立符合特定需求的角色至關重要。例如,如果想建立一個只能查看 Pod 訊息但不能修改的角色,將需要選擇相應的 resources 和 verbs 組合。

最佳實踐

  • 最小權限原則: 僅賦予必要的最小權限,避免過度授權。
  • 定期審核: 定期檢查和審核角色和角色綁定,確保它們符合當前的安全政策。
  • 命名空間層級的管理: 利用命名空間對權限進行隔離和細分,確保不同團隊或應用之間的權限界限清晰。
  • 集群範圍的權限控制: 使用 ClusterRole 和 ClusterRoleBinding 來管理跨命名空間或集群級資源的訪問。

📚Reference