官网文档
认证
是谁,识别用户
鉴权
有无操作对象资源的权限
准入
mutating 变形,添加默认值/属性
Admission
validating 对象是否合法,是否符合k8s规范

限流
API 对象实现

主要功能

  • 提供管理集群的REST API接口,包括认证、鉴权、数据校验以及集群状态变更
  • 提供其他模块之间数据交互和通信的枢纽(其他模块通过API查询或修改数据,只有API server才能直接操作etcd)

访问控制概览
image.png

HTTP handler
Authentication 是谁
Authorization 有无操作资源的权限
可以通过webhook自定义mutating和validating

访问控制细节
image.png
conversion 资源转换
Internal Version 面向自己的实现
External Version 面向用户

认证

kubernetes支持多种认证机制,并支持同时开启多个认证插件(只要有一个认证通过即可)。
如果认证成功,则用户的username会传入授权模块作进一步授权验证
对于认证失败的请求返回401

认证插件
x509证书 官网文档
API server启动时配置--client-ca-file=SOMEFILE
在证书认证时,CN(Common Name)域用作用户名,组织机构(Ognization Name)用作group名。

如何将CAA配置到API server

静态token
API server启动时配置 --token-auth-file=SOMEFILE
文件格式有3列,token, username, userid

静态密码文件
API Server启动时指定 --basic-auth-file=SOMEFILE
文件格式为csv,至少3列,group可选。passwd, user, uid,

ServiceAcount
ServiceAcount 是kubernetes自动生成的,并且会自动挂载到容器中。
用处:pod带着这个ServiceAccount去访问API server时,API可以识别是哪个namespace的那个pod
挂载目录/run/secrets/kubernetes.io/serviceaccount

启动引导令牌
为了支持平滑的启动引导新集群,kubernetes 包含了一种动态管理的持有令牌类型,称作启动引导令牌。
该令牌以Secret形式保存在kube-system命名空间中,可以被动态管理和创建。
控制器管理器包含的TokenCleaner控制器能够在启动引导令牌过期时将其删除。
在使用kubeadm部署kubernetes时可通过kubeadm token list 查询。

OpenID
Oauth2.0认证机制

认证插件

webhook令牌身份认证
--authentication-token-webhook-config-file 指向一个配置文件,其中描述如何访问webhook服务
--authentication-token-webhook-cache-ttl 设置身份认证的访问时间,默认2分钟

匿名请求
使用AlwaysAllow以外的认证模式,则匿名请求默认开启,可以使用--anonymous-auth=false禁止匿名请求

基于webhook的认证服务集成

官网文档
官网文档中文
认证服务规范

  1. URL: http://authn.example.com/authenticate
  2. Method: POST
  4. Input:
  6. {
  7.   "apiVersion": "authentication.k8s.io/v1",
  8.   "kind": "TokenReview",
  9.   "spec": {
  10.    # 发送到 API 服务器的不透明持有者令牌
  11.     "token": "014fbff9a07c...",
  13.     # 提供令牌的服务器的受众标识符的可选列表。
  14.     # 受众感知令牌验证器(例如,OIDC 令牌验证器)
  15.     # 应验证令牌是否针对此列表中的至少一个受众,
  16.     # 并返回此列表与响应状态中令牌的有效受众的交集。
  17.     # 这确保了令牌对于向其提供给的服务器进行身份验证是有效的。
  18.     # 如果未提供受众,则应验证令牌以向 Kubernetes API 服务器进行身份验证。
  19.     "audiences": ["https://myserver.example.com", "https://myserver.internal.example.com"]
  20.   }
  21. }
  23. OutPut:
  25. {
  26.   "apiVersion": "authentication.k8s.io/v1",
  27.   "kind": "TokenReview",
  28.   "status": {
  29.     "authenticated": true,
  30.     "user": {
  31.       # 必要
  32.       "username": "janedoe@example.com",
  33.       # 可选
  34.       "uid": "42",
  35.       # 可选的组成员身份
  36.       "groups": ["developers", "qa"],
  37.       # 认证者提供的可选附加信息。
  38.       # 此字段不可包含机密数据,因为这类数据可能被记录在日志或 API 对象中,
  39.       # 并且可能传递给 admission webhook。
  40.       "extra": {
  41.         "extrafield1": [
  42.           "extravalue1",
  43.           "extravalue2"
  44.         ]
  45.       }
  46.     },
  47.     # 验证器可以返回的、可选的用户感知令牌列表,
  48.     # 包含令牌对其有效的、包含于 `spec.audiences` 列表中的受众。
  49.     # 如果省略,则认为该令牌可用于对 Kubernetes API 服务器进行身份验证。
  50.     "audiences": ["https://myserver.example.com"]
  51.   }
  52. }

webhookserver
通过github的Personal access tokens进行身份认证

  1. package main
  3. import (
  4.     "context"
  5.     "encoding/json"
  6.     "log"
  7.     "net/http"
  9.     "github.com/google/go-github/github"
  10.     "golang.org/x/oauth2"
  11.     authentication "k8s.io/api/authentication/v1beta1"
  12. )
  14. func Authenticate(w http.ResponseWriter, r *http.Request) {
  15.     var tr authentication.TokenReview
  16.     err := json.NewDecoder(r.Body).Decode(&tr)
  17.     if err != nil {
  18.         log.Println("[Error]", err.Error())
  19.         w.WriteHeader(http.StatusBadRequest)
  20.         _ = json.NewEncoder(w).Encode(map[string]interface{}{
  21.             "apiVersion": "authentication.k8s.io/v1beta1",
  22.             "kind":       "TokenReview",
  23.             "status": authentication.TokenReviewStatus{
  24.                 Authenticated: false,
  25.                 Error:         err.Error(),
  26.             },
  27.         })
  28.         return
  29.     }
  31.     log.Print("receving request")
  33.     // Check User
  34.     sts := oauth2.StaticTokenSource(
  35.         &oauth2.Token{AccessToken: tr.Spec.Token},
  36.     )
  38.     oauthClient := oauth2.NewClient(context.Background(), sts)
  39.     httpClient := github.NewClient(oauthClient)
  41.     githubUser, _, err := httpClient.Users.Get(context.Background(), "")
  42.     if err != nil {
  43.         log.Println("[Error]", err.Error())
  44.         w.WriteHeader(http.StatusUnauthorized)
  45.         json.NewEncoder(w).Encode(map[string]interface{}{
  46.             "apiVersion": "authentication.k8s.io/v1beta1",
  47.             "kind":       "TokenReview",
  48.             "status": authentication.TokenReviewStatus{
  49.                 Authenticated: false,
  50.                 Error:         err.Error(),
  51.             },
  52.         })
  53.         return
  54.     }
  56.     log.Printf("[Success] login as %s", *githubUser.Login)
  57.     w.WriteHeader(http.StatusOK)
  58.     trs := authentication.TokenReviewStatus{
  59.         Authenticated: true,
  60.         User: authentication.UserInfo{
  61.             Username: *githubUser.Login,
  62.             UID:      *githubUser.Login,
  63.             Groups:   []string{"default"},
  64.         },
  65.     }
  66.     json.NewEncoder(w).Encode(map[string]interface{}{
  67.         "apiVersion": "authentication.k8s.io/v1beta1",
  68.         "kind":       "TokenReview",
  69.         "status":     trs,
  70.     })
  71. }
  73. func main() {
  74.     http.HandleFunc("/authenticate", Authenticate)
  75.     log.Println(http.ListenAndServe(":3000", nil))
  76. }

kubeadm创建的k8s集群默认的证书是1年,可通过脚本进行更新
查看证书情况

  1. # 新版本(1.15+)
  2. kubeadm alpha certs check-expiration
  4. # openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text | grep GMT

https://github.com/yuyicai/update-kube-cert

授权

授权主要是用于集群资源的访问控制,通过检查属性包含的相关属性值,与对应的访问策略相比较,API请求必须满足某些策略才能被处理。
与认证类似,kubernetes也支持多种授权机制,并支持同时开启多个授权插件,只要有一个验证通过即可。
如果授权成功,则请求会进入准入控制模块做进一步请求验证;授权失败返回403。

kubernetes授权仅处理以下请求属性

  • user,group,extra
  • API、请求方法(get/post/update/patch/delete)和请求路径(如API)
  • 请求资源和子资源
  • Namespace
  • API Group

kubernetes 支持以下授权插件

  • ABAC
  • RBAC(Role Base Access Control)
  • webhook
  • Node

RBAC

授权策略可以利用kubectl进行配置。
RBAC可以授权给用户,让用户有权限进行授权管理,实现权限传递。

Role 是一系列权限的集合,只能给特定的Namespace。对多namespace和集群级别的资源或者API使用ClusterRole。
ClusterRole、ClusterRoleBinding 是全局的
Role,RoleBinding 是命名空间内部的
user 可以通过RoleBinding绑定ClusterRole
image.png

Role和RoleBinding常见操作

  1. # 查看当前namespace有哪些role
  2. root@kubernetes-master:~# kubectl get role
  3. NAME        CREATED AT
  4. developer   2022-05-28T09:19:13Z
  6. # 查看指定role的详细信息
  7. root@kubernetes-master:~# kubectl get role developer -oyaml
  8. apiVersion: rbac.authorization.k8s.io/v1
  9. kind: Role
  10. metadata:
  11.   creationTimestamp: "2022-05-28T09:19:13Z"
  12.   name: developer
  13.   namespace: default
  14.   resourceVersion: "2897263"
  15.   uid: 504adaf9-230a-4de6-b98f-e9a9fd2442a2
  16. rules:
  17. - apiGroups:
  18.   - ""
  19.   resources:
  20.   - pods
  21.   verbs:
  22.   - create
  23.   - get
  24.   - list
  25.   - update
  26.   - delete
  28. # 创建role
  29. root@kubernetes-master:~/role# cat dev-role.yml
  30. apiVersion: rbac.authorization.k8s.io/v1
  31. kind: Role
  32. metadata:
  33.   name: dev-role-default
  34.   namespace: default
  35. rules:
  36. - apiGroups:
  37.   - ""
  38.   resources:
  39.   - pods
  40.   verbs:
  41.   - create
  42.   - get
  43.   - list
  44.   - update
  45.   - delete
  47. root@kubernetes-master:~/role# kubectl create -f dev-role.yml
  48. role.rbac.authorization.k8s.io/dev created
  50. # 绑定role
  51. root@kubernetes-master:~/role# cat dev-role-binding.yaml
  52. apiVersion: rbac.authorization.k8s.io/v1
  53. kind: RoleBinding
  54. metadata:
  55.   name: dev-rolebinding
  56.   namespace: default
  57. subjects:
  58.   - kind: User
  59.     name: PoplarYang
  60.     apiGroup: rbac.authorization.k8s.io
  61. roleRef:
  62.   kind: Role
  63.   name: dev-role-default
  64.   apiGroup: rbac.authorization.k8s.io
  66. root@kubernetes-master:~/role# kubectl create -f dev-role-binding.yaml
  68. # 在线编辑权限
  69. root@kubernetes-master:~/role# kubectl edit role dev-role-default
  71. # 测试
  72. root@kubernetes-master:~# kubectl get pod --user githubuser

image.png
ClusterRole和ClusterRoleBinding常见操作

  1. # 查看所有cluster role
  2. root@kubernetes-master:~# kubectl get clusterrole
  4. # 查看当前namespace有哪些cluster role
  5. root@kubernetes-master:~/role# cat dev-clusterrole.yml
  6. apiVersion: rbac.authorization.k8s.io/v1
  7. kind: ClusterRole
  8. metadata:
  9.   name: dev-clusterrole
  10. rules:
  11. - apiGroups:
  12.   - ""
  13.   resources:
  14.   - pods
  15.   verbs:
  16.   - create
  17.   - get
  18.   - list
  20. root@kubernetes-master:~/role# kubectl create -f dev-clusterrole.yml
  23. # 绑定cluster role
  24. root@kubernetes-master:~/role# cat dev-cluster-role-binding.yaml
  25. apiVersion: rbac.authorization.k8s.io/v1
  26. kind: RoleBinding
  27. metadata:
  28.   name: dev-cluster-rolebinding
  29.   namespace: default
  30. subjects:
  31.   - kind: User
  32.     name: PoplarYang
  33.     apiGroup: rbac.authorization.k8s.io
  34. roleRef:
  35.   kind: ClusterRole
  36.   name: dev-clusterrole
  37.   apiGroup: rbac.authorization.k8s.io
  39. root@kubernetes-master:~/role# kubectl create -f dev-cluster-role-binding.yaml
  41. # 测试
  42. root@kubernetes-master:~# kubectl get pod --user githubuser

测试页面有可以公开访问的minikube
https://v1-23.docs.kubernetes.io/zh/docs/test/