关于RBAC相关的知识点可以参考kubernetes官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/rbac/#kubectl-create-rolebinding
下图所示是RBAC角色与权限之间的关系:
RBAC支持动作
create、delete、deletecollection、get、list、patch、update、watch、bind等等
支持的资源
"services","endpoints","pods","deployment"
"jobs","configmaps","nodes","rolebinding","clusterrole"等
1、用户"wangqing"可以查看default、kube-system 两个namespace下的pod以及pod日志权限
2、用户"xiaowang"可以在default这个namespace下pod执行命令,并且可以删除pod
3、用户"laobi"可以对"default"、"kube-system"这两个namespace下的pod进行删除、更新、查询日志、执行等权限
一、Serviceaccount服务账户和命名空间;
首先我们可以创建一个命名空间"kube-users",将两个serviceaccount账号同一管理;
#kubectl create ns kube-users
创建两个serviceaccount两个服务账号,指定上述的kube-users的命名空间
#kubectl create sa wangaing -n kube-users
#kubectl create sa xiaowang -n kube-users
查看kube-users下创建的两个serviceaccount服务账号
# kubectl get sa -n kube-users
NAME SECRETS AGE
wangqing 1 77m
xiaowang 1 77m
创建serviceaccount两个服务账号的同时也会生成对应的secret,我们在登陆的时候可以查看secret-token进行登录验证
[root@k8s-master01 ~]#kubectl get secret -n kube-users
NAME TYPE DATA AGE
wangqing-token-v45sp kubernetes.io/service-account-token 3 76m
xiaowang-token-tzpgc kubernetes.io/service-account-token 3 75m
namespace以及serviceaccount创建完之后,默认是没有任何权限的,接下来需要创建不同权限clusterrole和rolebinding将我们的sa(serviceaccount)账户与之绑定,即可实现不同用户拥有对namspace不同的管理权限了
二、创建不同权限的clusterrole
2.1、创建查询namespace下权限的clusterrole
#vim namespace-list.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: namespace-readonly
rules:
- apiGroups:
- ""
resources:
- namespaces
verbs:
- get
- list
- watch
- apiGroups:
- metrics.k8s.io
resources:
- pods
verbs:
- get
- list
- watch
#kubectl create -f namespace-list.yaml
2.2、将名为"namespace-readonly"的clusterrole绑定全局命名空间“kube-users”下,那么此时,“kube-users”下所有的serviceaccount账户都具有对全局的namespace查询权限
#vim namespace-readonly.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: namespace-readonly-sa
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: namespace-readonly. #指定名为“namespace-readonly”的clusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
kind: Group
name: system:serviceaccounts:kube-users #针对该"kube-users"namespace下的serviceaccount进行授权,授权查询全局namespace的权限
#kubectl create -f namespace-readonly.yaml
验证clusterrolebinding绑定的之后的secretaccount账户,验证一下kube-users下的sa是否对namespace仅是只读权限
2.3、创建一个具有查看pod权限的clusterrole
#vim pod-log.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: pod-log
rules:
- apiGroups:
- ""
resources:
- pods
- pods/log
verbs:
- get
- list
- watch
#kubectl create -f pod-log.yaml
2.4、创建一个rolebinding.在kube-system和default两个Namespace中,将具有查询pod日志权限的"pod-log"clusterrole授权给kube-users命名空间下的wangqing服务账户(ServiceAccount)
#kubectl create rolebinding wangqing-pod-log --clusterrole=pod-log --serviceaccount=kube-users:wangqing --namespace=kube-system
#kubectl create rolebinding wangqing-pod-log --clusterrole=pod-log --serviceaccount=kube-users:wangqing --namespace=default
通过wangqing这个sa账户登录验证除了能查看pod状态的权限之外,其它权限(执行、删除、更新)都没有。如果执行未授权的操作将会报错,如下图所示:
2.5、创建一个拥有对pod执行、删除权限的clusterrole
#vim pod-exec.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: pod-exec
rules:
- apiGroups:
- ""
resources:
- pods
verbs:
- get
- list
- apiGroups:
- ""
resources:
- pods/exec
verbs:
- create
#vim pod-delete.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: pod-delete
rules:
- apiGroups:
- ""
resources:
- pods
verbs:
- get
- list
- delete
#kubectl create -f pod-delete.yaml -f pod-exec.yaml
创建两个Rolebinding:
在namespace "default"中,将一个名为"pod-exec“ ClusterRole对象中的执行权限授予namespace中名称为“xiaowang”的服务账户(ServiceAccount):
#kubectl create rolebinding xiaowang-pod-exec --clusterrole=pod-exec --serviceaccount=kube-users:xiaowang --namespace=default
在namespace "default"中,将一个名为"pod-delete“ ClusterRole对象中的执行权限授予namespace中名称为“xiaowang”的服务账户(ServiceAccount):
#kubectl create rolebinding xiaowang-pod-delete --clusterrole=pod-delete --serviceaccount=kube-users:xiaowang --namespace=default
验证:通过xiaowang这个serviceaccount这个账户登录到界面可以看到在default这个命名空间下可以对pod进行执行、删除等操作
2.6、创建一个拥有删除、更新、执行、查询日志等响应权限的clusterrole。
#vim pod-all.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: pod-all rules: - apiGroups: - "" resources: - pods - pods/log - pods/exec - pods/update verbs: - get - list - watch - delete - create - update
#kubectl create -f pod-all.yaml
创建serviceaccount服务账号,用于clusterrole权限绑定
#kubectl create sa laobi
#将拥有权限的clusterrole对象授予“laobi”serviceaccount账户,并绑定在kube-system、default两个命名空间
#kubectl create rolebinding laobi-pod-all --serviceaccount=kube-users:laobi --clusterrole=clusterrole -n kube-system
#kubectl create rolebinding laobi-pod-all --serviceaccount=kube-users:laobi --clusterrole=clusterrole -n default
验证:那么此时通过该serviceaccount账户登录到dashboards,可以拥有对kube-system和default下的pod编辑、删除、查询日志以及执行权限
END!