k8s怎么设置角色

Kubernetes (K8s) 设置角色的步骤包括：创建角色、定义权限、应用角色绑定。这些步骤确保了在K8s集群中的访问控制。以下详细描述了创建角色的过程。

在K8s中，设置角色是通过Role和ClusterRole资源来定义的。Role在命名空间范围内工作，而ClusterRole在集群范围内工作。要创建一个角色，首先需要定义一个YAML文件，该文件指定了角色的权限。例如，创建一个仅允许读取Pod信息的角色，需要在YAML文件中详细描述该角色的权限和范围。然后，通过kubectl apply命令将这个YAML文件应用到K8s集群中，使角色生效。

一、创建角色

在K8s中创建角色的主要步骤如下：

定义角色YAML文件：在YAML文件中指定角色的名称、作用域和权限。以下是一个示例YAML文件：
```
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
```
这个文件定义了一个名为pod-reader的角色，允许在default命名空间中读取Pods的信息。
应用YAML文件：使用kubectl apply命令将YAML文件应用到K8s集群中：
```
kubectl apply -f role.yaml
```
这将创建一个名为pod-reader的角色，该角色只能在default命名空间中读取Pods的信息。
验证角色创建：可以使用以下命令来验证角色是否已成功创建：
```
kubectl get roles -n default
```

二、定义权限

定义角色的权限需要考虑以下几个方面：

资源类型：指定角色可以访问的资源类型，例如Pods、Services、Deployments等。
API组：指定资源所属的API组，例如""表示核心API组，apps表示应用API组。
操作类型：指定角色可以执行的操作，例如get、list、create、update、delete等。
命名空间：对于Role资源，需要指定其作用的命名空间。对于ClusterRole，则不需要指定命名空间，因为其作用于整个集群。

三、应用角色绑定

角色绑定是将定义好的角色应用到具体的用户、组或服务账号上的过程。

定义角色绑定YAML文件：以下是一个示例YAML文件，将pod-reader角色绑定到一个名为jane的用户上：

apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: default subjects: - kind: User name: jane apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io

这个文件定义了一个名为read-pods的角色绑定，将pod-reader角色应用到default命名空间中的jane用户上。

应用YAML文件：使用kubectl apply命令将角色绑定YAML文件应用到K8s集群中：
```
kubectl apply -f rolebinding.yaml
```
验证角色绑定：可以使用以下命令来验证角色绑定是否已成功创建：
```
kubectl get rolebindings -n default
```

四、示例场景

以下是一些在实际场景中使用角色和角色绑定的示例：

限制开发人员权限：可以为开发团队创建一个仅允许查看和列出资源的角色，确保他们不能修改或删除生产环境中的资源。

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: production
  name: developer-read-only
rules:
- apiGroups: [""]
  resources: ["pods", "services", "deployments"]
  verbs: ["get", "list", "watch"]

然后，将该角色绑定到开发团队的用户组上：

apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: developer-read-only-binding namespace: production subjects: - kind: Group name: developers apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: developer-read-only apiGroup: rbac.authorization.k8s.io

为CI/CD系统配置权限：可以为CI/CD系统创建一个角色，允许其在特定命名空间中部署和管理应用：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: ci-cd
  name: ci-cd-manager
rules:
- apiGroups: ["apps"]
  resources: ["deployments"]
  verbs: ["create", "update", "delete"]

然后，将该角色绑定到CI/CD系统的服务账号上：

apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: ci-cd-manager-binding namespace: ci-cd subjects: - kind: ServiceAccount name: ci-cd-service-account namespace: ci-cd roleRef: kind: Role name: ci-cd-manager apiGroup: rbac.authorization.k8s.io

五、角色和角色绑定管理

在K8s集群中管理角色和角色绑定是一个持续的过程，需要定期审查和更新权限配置。

定期审查角色和角色绑定：确保角色和角色绑定的配置符合当前的安全策略和业务需求。
最小权限原则：始终遵循最小权限原则，即只为用户和服务账号分配执行其任务所需的最低权限。
自动化管理：使用配置管理工具（如Helm、Kustomize等）和CI/CD管道自动化管理角色和角色绑定，确保配置的一致性和可追溯性。

通过以上步骤，可以在K8s集群中有效地设置和管理角色，确保集群资源的安全和可控访问。

相关问答FAQs：

1. Kubernetes 中如何配置角色和角色绑定？

在 Kubernetes 中，配置角色和角色绑定是管理权限的关键步骤。角色（Role）和角色绑定（RoleBinding）提供了一种细粒度的权限控制机制，使得用户或服务账户能够在集群中执行特定的操作。下面是如何设置这些角色的详细步骤：

首先，定义一个角色是创建权限的第一步。角色是一个 Kubernetes 资源对象，用于指定在命名空间内可以执行的操作。一个角色定义了对某些资源的访问权限，如 Pods、Services、ConfigMaps 等。以下是一个示例角色配置文件（role.yaml）：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: my-role
  namespace: default
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]

这个角色允许对 default 命名空间中的 Pods 进行获取、列出和监视操作。

接下来，需要创建一个角色绑定，将定义的角色分配给特定的用户、组或服务账户。角色绑定将角色的权限应用于一个或多个主体（如用户或服务账户）。以下是一个示例角色绑定配置文件（rolebinding.yaml）：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-role-binding
  namespace: default
subjects:
- kind: User
  name: john.doe
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: my-role
  apiGroup: rbac.authorization.k8s.io

这个角色绑定将之前创建的 my-role 角色分配给 john.doe 用户，使得该用户可以在 default 命名空间内对 Pods 执行指定的操作。

2. Kubernetes 角色与集群角色的区别是什么？

Kubernetes 中有两种主要的权限控制对象：角色（Role）和集群角色（ClusterRole）。虽然它们的功能类似，但在应用范围和使用场景上有所不同。

角色（Role）用于在特定命名空间内定义权限。它的作用范围仅限于该命名空间，这意味着角色所定义的权限仅适用于该命名空间中的资源。例如，您可以创建一个角色来允许某个用户在 default 命名空间内对 Pods 执行操作，但不能影响其他命名空间的 Pods。

而集群角色（ClusterRole）是跨所有命名空间的权限定义。它适用于整个集群中的所有资源，而不仅仅是某个命名空间。集群角色可以用于定义集群范围内的权限，如对节点、存储类、集群范围的 ConfigMaps 等进行操作。以下是一个示例集群角色配置文件（clusterrole.yaml）：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin
rules:
- apiGroups: [""]
  resources: ["*"]
  verbs: ["*"]

这个集群角色授予对所有资源和操作的完全访问权限。

集群角色通常与集群角色绑定（ClusterRoleBinding）一起使用，用于将权限分配给用户或服务账户，而不是仅在某个命名空间内。例如：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluster-admin-binding
subjects:
- kind: User
  name: jane.doe
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

这个集群角色绑定将 cluster-admin 集群角色分配给 jane.doe 用户，使她能够在整个集群中执行所有操作。

3. 如何验证 Kubernetes 中角色和角色绑定的配置？

在 Kubernetes 中配置角色和角色绑定后，验证这些配置是否正确是非常重要的，以确保权限设置符合预期。验证过程包括检查角色和角色绑定的状态以及测试权限是否如预期那样有效。

首先，可以使用 kubectl 命令查看角色和角色绑定的状态。以下命令可以列出所有角色和角色绑定：

kubectl get roles --namespace=<namespace>
kubectl get rolebindings --namespace=<namespace>

将 <namespace> 替换为您要检查的命名空间。如果要查看集群级别的角色和角色绑定，可以使用以下命令：

kubectl get clusterroles
kubectl get clusterrolebindings

接下来，可以使用 kubectl describe 命令详细查看角色和角色绑定的配置：

kubectl describe role <role-name> --namespace=<namespace>
kubectl describe rolebinding <rolebinding-name> --namespace=<namespace>
kubectl describe clusterrole <clusterrole-name>
kubectl describe clusterrolebinding <clusterrolebinding-name>

这些命令将显示角色和角色绑定的详细信息，包括它们的规则、绑定的主体以及其他相关信息。

最后，实际测试角色和角色绑定是否生效。可以通过尝试使用配置了特定角色的用户或服务账户进行操作来验证权限是否正确。例如，尝试列出命名空间中的 Pods 以确认是否具有相应的访问权限。可以使用以下命令模拟用户操作：

kubectl auth can-i list pods --namespace=<namespace>

这将返回该用户是否有权限列出指定命名空间中的 Pods。如果权限配置正确，应该能够获得预期的访问结果。

关于 GitLab 的更多内容，可以查看官网文档：
官网地址： https://gitlab.cn
文档地址： https://docs.gitlab.cn
论坛地址： https://forum.gitlab.cn

原创文章，作者：DevSecOps，如若转载，请注明出处：https://devops.gitlab.cn/archives/59718