Kubernetes教程FG056-Kubernetes RBAC权限控制配置与实战
内容简介
本篇文章主要介绍Kubernetes中基于角色的访问控制(RBAC)的配置与使用方法。风哥教程参考Kubernetes官方文档RBAC相关内容,结合生产环境实际操作场景,详细讲解RBAC的配置方法、最佳实践和常见问题解决方案。
目录大纲
Part01-基础概念与理论知识
1.1 RBAC概述
基于角色的访问控制(RBAC)是Kubernetes中用于授权的安全机制,它通过定义角色和角色绑定来控制用户对集群资源的访问权限。RBAC的主要作用包括:
- 细粒度的权限控制:可以精确控制用户对资源的访问权限
- 最小权限原则:只授予用户完成任务所需的最小权限
- 灵活的权限管理:可以根据需要动态调整权限
1.2 RBAC核心概念
RBAC的核心概念包括:
- 角色(Role):定义了在特定命名空间内的权限
- 集群角色(ClusterRole):定义了在整个集群范围内的权限
- 角色绑定(RoleBinding):将角色绑定到用户、组或服务账户
- 集群角色绑定(ClusterRoleBinding):将集群角色绑定到用户、组或服务账户
- 服务账户(ServiceAccount):Kubernetes中应用程序使用的账户
Part02-生产环境规划与建议
2.1 RBAC的设计原则
- 最小权限原则:只授予必要的权限
- 职责分离:不同角色拥有不同的职责
- 命名空间隔离:使用命名空间隔离不同团队的资源
- 定期审查:定期审查权限配置,确保权限的合理性
2.2 权限管理的最佳实践
,风哥提示:。
- 使用集群角色和角色绑定:对于集群级别的权限使用ClusterRole,对于命名空间级别的权限使用Role
- 使用服务账户:为应用程序创建专用的服务账户,避免使用默认服务账户
- 使用角色继承:通过聚合集群角色实现权限的继承
- 配置资源配额:结合资源配额限制用户的资源使用
Part03-生产环境项目实施方案
3.1 角色与集群角色配置
角色与集群角色的配置示例,风哥提示:。
创建角色
# 创建角色YAML文件
[root@fgedu-master ~]# cat > role-fgedu.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: fgedu-role namespace: default rules: - apiGroups: [""] resources: ["pods", "services", "configmaps"] verbs: ["get", "list", "create", "update", "delete"] - apiGroups: ["apps"] resources: ["deployments", "statefulsets"] verbs: ["get", "list", "create", "update", "delete"] EOF
[root@fgedu-master ~]# cat > role-fgedu.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: fgedu-role namespace: default rules: - apiGroups: [""] resources: ["pods", "services", "configmaps"] verbs: ["get", "list", "create", "update", "delete"] - apiGroups: ["apps"] resources: ["deployments", "statefulsets"] verbs: ["get", "list", "create", "update", "delete"] EOF
# 应用角色
[root@fgedu-master ~]# kubectl apply -f role-fgedu.yaml
[root@fgedu-master ~]# kubectl apply -f role-fgedu.yaml
role.rbac.authorization.k8s.io/fgedu-role created
创建集群角色
# 创建集群角色YAML文件
[root@fgedu-master ~]# cat > clusterrole-fgedu.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: fgedu-clusterrole rules: - apiGroups: [""] resources: ["nodes", "namespaces"] verbs: ["get", "list"] - apiGroups: ["storage.k8s.io"] resources: ["storageclasses"] verbs: ["get", "list"] EOF
[root@fgedu-master ~]# cat > clusterrole-fgedu.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: fgedu-clusterrole rules: - apiGroups: [""] resources: ["nodes", "namespaces"] verbs: ["get", "list"] - apiGroups: ["storage.k8s.io"] resources: ["storageclasses"] verbs: ["get", "list"] EOF
# 应用集群角色
[root@fgedu-master ~]# kubectl apply -f clusterrole-fgedu.yaml
[root@fgedu-master ~]# kubectl apply -f clusterrole-fgedu.yaml
clusterrole.rbac.authorization.k8s.io/fgedu-clusterrole created
3.2 角色绑定与集群角色绑定配置
角色绑定与集群角色绑定的配置示例。
,学习交流加群风哥微信: itpux-com。
创建角色绑定
# 创建角色绑定YAML文件[root@fgedu-master ~]# cat > rolebinding-fgedu.yaml << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: fgedu-rolebinding
namespace: default
subjects:
- kind: User
name: fgedu-user
apiGroup: rbac.authorization.k8s.io
- kind: ServiceAccount
name: fgedu-sa
namespace: default
roleRef:
kind: Role
name: fgedu-role
apiGroup: rbac.authorization.k8s.io
EOF
# 应用角色绑定
[root@fgedu-master ~]# kubectl apply -f rolebinding-fgedu.yaml
[root@fgedu-master ~]# kubectl apply -f rolebinding-fgedu.yaml
rolebinding.rbac.authorization.k8s.io/fgedu-rolebinding created
创建集群角色绑定
# 创建集群角色绑定YAML文件
[root@fgedu-master ~]# cat > clusterrolebinding-fgedu.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: fgedu-clusterrolebinding subjects: - kind: User name: fgedu-admin apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: fgedu-clusterrole apiGroup: rbac.authorization.k8s.io EOF
[root@fgedu-master ~]# cat > clusterrolebinding-fgedu.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: fgedu-clusterrolebinding subjects: - kind: User name: fgedu-admin apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: fgedu-clusterrole apiGroup: rbac.authorization.k8s.io EOF
# 应用集群角色绑定
[root@fgedu-master ~]# kubectl apply -f clusterrolebinding-fgedu.yaml
[root@fgedu-master ~]# kubectl apply -f clusterrolebinding-fgedu.yaml
clusterrolebinding.rbac.authorization.k8s.io/fgedu-clusterrolebinding created
3.3 服务账户的权限配置
服务账户的权限配置示例。
创建服务账户
# 创建服务账户
[root@fgedu-master ~]# kubectl create serviceaccount fgedu-sa -n default
[root@fgedu-master ~]# kubectl create serviceaccount fgedu-sa -n default
serviceaccount/fgedu-sa created
,学习交流加群风哥QQ113257174。
为服务账户配置权限
# 创建服务账户的角色绑定[root@fgedu-master ~]# cat > sa-rolebinding.yaml << EOF
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: fgedu-sa-rolebinding
namespace: default
subjects:
- kind: ServiceAccount
name: fgedu-sa
namespace: default
roleRef:
kind: Role
name: fgedu-role
apiGroup: rbac.authorization.k8s.io
EOF
# 应用角色绑定
[root@fgedu-master ~]# kubectl apply -f sa-rolebinding.yaml
[root@fgedu-master ~]# kubectl apply -f sa-rolebinding.yaml
rolebinding.rbac.authorization.k8s.io/fgedu-sa-rolebinding created
使用服务账户运行Pod
# 创建使用服务账户的Pod
[root@fgedu-master ~]# cat > pod-with-sa.yaml << EOF apiVersion: v1 kind: Pod metadata: name: nginx-with-sa namespace: default spec: serviceAccountName: fgedu-sa containers: - name: nginx image: nginx:1.21.6 ports: - containerPort: 80 EOF
[root@fgedu-master ~]# cat > pod-with-sa.yaml << EOF apiVersion: v1 kind: Pod metadata: name: nginx-with-sa namespace: default spec: serviceAccountName: fgedu-sa containers: - name: nginx image: nginx:1.21.6 ports: - containerPort: 80 EOF
# 应用Pod配置
[root@fgedu-master ~]# kubectl apply -f pod-with-sa.yaml
[root@fgedu-master ~]# kubectl apply -f pod-with-sa.yaml
pod/nginx-with-sa created
Part04-生产案例与实战讲解
4.1 多租户环境的RBAC配置
某企业有多个开发团队,需要在同一Kubernetes集群中隔离不同团队的资源访问。
案例背景
- 团队数量:3个开发团队
- 环境类型:每个团队需要开发、测试、生产三个环境
- 权限需求:每个团队只能访问自己的命名空间
- 管理需求:管理员需要访问所有命名空间
RBAC配置方案
,更多视频教程www.fgedu.net.cn。
# 创建团队A的命名空间
kubectl create namespace team-a-dev
kubectl create namespace team-a-test
kubectl create namespace team-a-prod
# 创建团队A的角色
cat > role-team-a.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: team-a-role rules: - apiGroups: ["*"] resources: ["pods", "services", "deployments", "configmaps", "secrets"] verbs: ["get", "list", "create", "update", "delete"] EOF # 为每个命名空间创建角色绑定 kubectl apply -f role-team-a.yaml -n team-a-dev kubectl apply -f role-team-a.yaml -n team-a-test kubectl apply -f role-team-a.yaml -n team-a-prod # 创建团队A的服务账户 kubectl create serviceaccount team-a-sa -n team-a-dev kubectl create serviceaccount team-a-sa -n team-a-test kubectl create serviceaccount team-a-sa -n team-a-prod # 创建角色绑定 cat > rolebinding-team-a-dev.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: team-a-rolebinding namespace: team-a-dev subjects: - kind: ServiceAccount name: team-a-sa namespace: team-a-dev roleRef: kind: Role name: team-a-role apiGroup: rbac.authorization.k8s.io EOF kubectl apply -f rolebinding-team-a-dev.yaml # 类似创建其他命名空间的角色绑定
kubectl create namespace team-a-dev
kubectl create namespace team-a-test
kubectl create namespace team-a-prod
# 创建团队A的角色
cat > role-team-a.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: team-a-role rules: - apiGroups: ["*"] resources: ["pods", "services", "deployments", "configmaps", "secrets"] verbs: ["get", "list", "create", "update", "delete"] EOF # 为每个命名空间创建角色绑定 kubectl apply -f role-team-a.yaml -n team-a-dev kubectl apply -f role-team-a.yaml -n team-a-test kubectl apply -f role-team-a.yaml -n team-a-prod # 创建团队A的服务账户 kubectl create serviceaccount team-a-sa -n team-a-dev kubectl create serviceaccount team-a-sa -n team-a-test kubectl create serviceaccount team-a-sa -n team-a-prod # 创建角色绑定 cat > rolebinding-team-a-dev.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: team-a-rolebinding namespace: team-a-dev subjects: - kind: ServiceAccount name: team-a-sa namespace: team-a-dev roleRef: kind: Role name: team-a-role apiGroup: rbac.authorization.k8s.io EOF kubectl apply -f rolebinding-team-a-dev.yaml # 类似创建其他命名空间的角色绑定
管理员权限配置
# 创建管理员集群角色绑定
[root@fgedu-master ~]# cat > admin-clusterrolebinding.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: admin-clusterrolebinding subjects: - kind: User name: admin apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io EOF # 应用集群角色绑定 [root@fgedu-master ~]# kubectl apply -f admin-clusterrolebinding.yaml
[root@fgedu-master ~]# cat > admin-clusterrolebinding.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: admin-clusterrolebinding subjects: - kind: User name: admin apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io EOF # 应用集群角色绑定 [root@fgedu-master ~]# kubectl apply -f admin-clusterrolebinding.yaml
4.2 应用服务账户的权限配置
某企业部署了一个微服务应用,需要为不同的服务配置不同的权限。。
案例背景
,更多学习教程公众号风哥教程itpux_com。
- 应用:微服务应用,包含API服务、数据库服务和缓存服务
- 权限需求:
- API服务:需要访问数据库服务和缓存服务
- 数据库服务:只需要访问存储资源
- 缓存服务:只需要访问网络资源
服务账户配置
# 创建命名空间
[root@fgedu-master ~]# kubectl create namespace fgedu-microservices
[root@fgedu-master ~]# kubectl create namespace fgedu-microservices
# 创建API服务账户
[root@fgedu-master ~]# kubectl create serviceaccount api-sa -n fgedu-microservices
# 创建数据库服务账户
[root@fgedu-master ~]# kubectl create serviceaccount db-sa -n fgedu-microservices
# 创建缓存服务账户
[root@fgedu-master ~]# kubectl create serviceaccount cache-sa -n fgedu-microservices
权限配置
# 创建API服务角色
[root@fgedu-master ~]# cat > api-role.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: api-role namespace: fgedu-microservices rules: - apiGroups: [""] resources: ["services", "endpoints"] verbs: ["get", "list"] EOF # 应用角色 [root@fgedu-master ~]# kubectl apply -f api-role.yaml # 创建数据库服务角色 [root@fgedu-master ~]# cat > db-role.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: db-role namespace: fgedu-microservices rules: - apiGroups: ["storage.k8s.io"] resources: ["persistentvolumeclaims"] verbs: ["get", "list", "create", "update"] EOF # 应用角色 [root@fgedu-master ~]# kubectl apply -f db-role.yaml
[root@fgedu-master ~]# cat > api-role.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: api-role namespace: fgedu-microservices rules: - apiGroups: [""] resources: ["services", "endpoints"] verbs: ["get", "list"] EOF # 应用角色 [root@fgedu-master ~]# kubectl apply -f api-role.yaml # 创建数据库服务角色 [root@fgedu-master ~]# cat > db-role.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: db-role namespace: fgedu-microservices rules: - apiGroups: ["storage.k8s.io"] resources: ["persistentvolumeclaims"] verbs: ["get", "list", "create", "update"] EOF # 应用角色 [root@fgedu-master ~]# kubectl apply -f db-role.yaml
角色绑定
# 创建API服务角色绑定
[root@fgedu-master ~]# cat > api-rolebinding.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: api-rolebinding namespace: fgedu-microservices subjects:。 - kind: ServiceAccount,from K8S+DB视频:www.itpux.com。 name: api-sa namespace: fgedu-microservices roleRef: kind: Role name: api-role apiGroup: rbac.authorization.k8s.io EOF # 应用角色绑定 [root@fgedu-master ~]# kubectl apply -f api-rolebinding.yaml # 创建数据库服务角色绑定 [root@fgedu-master ~]# cat > db-rolebinding.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: db-rolebinding namespace: fgedu-microservices subjects: - kind: ServiceAccount name: db-sa namespace: fgedu-microservices roleRef: kind: Role name: db-role apiGroup: rbac.authorization.k8s.io EOF # 应用角色绑定 [root@fgedu-master ~]# kubectl apply -f db-rolebinding.yaml
[root@fgedu-master ~]# cat > api-rolebinding.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: api-rolebinding namespace: fgedu-microservices subjects:。 - kind: ServiceAccount,from K8S+DB视频:www.itpux.com。 name: api-sa namespace: fgedu-microservices roleRef: kind: Role name: api-role apiGroup: rbac.authorization.k8s.io EOF # 应用角色绑定 [root@fgedu-master ~]# kubectl apply -f api-rolebinding.yaml # 创建数据库服务角色绑定 [root@fgedu-master ~]# cat > db-rolebinding.yaml << EOF apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: db-rolebinding namespace: fgedu-microservices subjects: - kind: ServiceAccount name: db-sa namespace: fgedu-microservices roleRef: kind: Role name: db-role apiGroup: rbac.authorization.k8s.io EOF # 应用角色绑定 [root@fgedu-master ~]# kubectl apply -f db-rolebinding.yaml
Part05-风哥经验总结与分享
5.1 RBAC配置的最佳实践
- 遵循最小权限原则:只授予用户完成任务所需的最小权限
- 使用命名空间隔离:为不同的团队或项目创建独立的命名空间
- 使用服务账户:为应用程序创建专用的服务账户,避免使用默认服务账户
- 定期审查权限:定期检查和更新权限配置,确保权限的合理性
- 使用集群角色和角色绑定:根据权限范围选择合适的角色类型
- 配置资源配额:结合资源配额限制用户的资源使用
5.2 常见问题与解决方案
问题 原因 解决方案
权限不足 RBAC配置不正确 检查角色和角色绑定配置
服务账户无法访问资源 服务账户未绑定角色 创建角色绑定,将服务账户与角色关联
集群角色不生效 使用了角色绑定而非集群角色绑定 使用ClusterRoleBinding绑定集群角色
权限过于宽松 角色权限设置过大 调整角色权限,遵循最小权限原则
权限冲突 多个角色绑定导致权限冲突 检查并调整角色绑定,避免权限冲突
权限不足 RBAC配置不正确 检查角色和角色绑定配置
服务账户无法访问资源 服务账户未绑定角色 创建角色绑定,将服务账户与角色关联
集群角色不生效 使用了角色绑定而非集群角色绑定 使用ClusterRoleBinding绑定集群角色
权限过于宽松 角色权限设置过大 调整角色权限,遵循最小权限原则
权限冲突 多个角色绑定导致权限冲突 检查并调整角色绑定,避免权限冲突
本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html
联系我们
在线咨询:
微信号:itpux-com
工作日:9:30-18:30,节假日休息