1 .kubernetes API 访问控制

访问控制流程如下： 认证、授权和准入控制。

具体流程如下：

Authentication（认证）
认证方式现共有8种，可以启用一种或多种认证方式，只要有一种认证方式通过，就不再进行其它方式的认证。
通常启用X509 Client Certs和Service Accout Tokens两种认证方式。

Kubernetes集群有两类用户：由Kubernetes管理的Service Accounts （服务账户）和（Users Accounts） 普通账户。
k8s中账号的概念不是我们理解的账号，它并不真的存在，它只是形式上存在。

Authorization（授权）
必须经过认证阶段，才到授权请求，根据所有授权策略匹配请求资源属性，决定允许或拒绝请求。
授权方式现共有6种，AlwaysDeny、AlwaysAllow、ABAC、RBAC、Webhook、Node。默认集群强制开启RBAC。

Admission Control（准入控制）
用于拦截请求的一种方式，运行在认证、授权之后，是权限认证链上的最后一环，对请求API资源对象进行修改和校验。

访问k8s的API Server的客户端主要分为两类：
kubectl ：用户家目录中的 .kube/config 里面保存了客户端访问API Server的密钥相关信息，这样当用kubectl访问k8s时，它就会自动读取该配置文件，向API Server发起认证，然后完成操作请求。
pod：Pod中的进程需要访问API Server，如果是人去访问或编写的脚本去访问，这类访问使用的账号为：UserAccount；而Pod自身去连接API Server时，使用的账号是：ServiceAccount，生产中后者使用居多。

2、ServiceAccount

如果将一个镜像放入私有仓库内，那么拉取镜像就会失败，为了解决这个问题可以用命令创建一个secret,其中指定了仓库的名字和账号密码，然后我们编写yaml文件，在其中写入secret，包括了仓库的名字和账号密码，这样就可以拉取镜像。但是我们将账号密码写入yaml文件中就会有安全风险，该如何解决这个问题？

创建一个服务账户ServiceAccount，它会用户自动生成认证信息，但是没有进行授权

使用此命令将secrets添加到admin服务账户内

kubectl patch serviceaccount admin -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

可以看到myregistrykey已经和admin绑定成功，如果现在有pod使用admin服务账户就可以调用myregistrykey，但无法破解其真实密码。

编辑文件

[root@server2 configmap]# cat registry.yaml 
apiVersion: v1
kind: Pod
metadata:
  name: mypod
spec:
  containers:
  - name: game2048
    image: reg.westos.org/westos/game2048:latest        拉取镜像
  serviceAccountName: admin                           使用admin这个sa

应用文件创建pod成功
应该要注意的是，在yaml文件里使用sa添加认证信息，要比在yaml文件里让pod直接指定imagePullSecrets安全的多。

kubectl get pod mypod -o yaml 查看mypod这个pod的yaml信息

可以看到，mypod在创建时调用了admin的sa

3、UserAccount

创建test用户，进入/etc/kubernetes/pki/目录

  openssl genrsa -out test.key 2048 创建认证密钥
  openssl req -new -key test.key -out test.csr -subj "/CN=test"  提交证书申请请求
  openssl  x509 -req -in test.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out test.crt -days 365 生成x509证书
  openssl x509 -in test.crt -text -noout 查看证书

test.key:认证密钥
test.csr:证书申请请求
test.vrt:证书

kubectl config set-credentials test --client-certificate=/etc/kubernetes/pki/test.crt --client-key=/etc/kubernetes/pki/test.key --embed-certs=true 为test用户添加认证

kubectl  config view 查看配置

当前使用的是admin账户，需要切换

 kubectl config set-context test@kubernetes --cluster=kubernetes --user=test 创建test UserAccount

kubectl config use-context test@kubernetes	切换到test用户

切换成功，但是因为test是普通用户并且没有设置任何权限，所以无法查看pod

切换回admin超户，进行授权

4、RBAC基于角色访问控制授权

RBAC（Role Based Access Control）：基于角色访问控制授权。
允许管理员通过Kubernetes API动态配置授权策略。RBAC就是用户通过角色与权限进行关联。
RBAC只有授权，没有拒绝授权，所以只需要定义允许该用户做什么即可。
RBAC包括四种类型：Role、ClusterRole、RoleBinding、ClusterRoleBinding。

RBAC的三个基本概念：

(1)Subject：被作用者，它表示k8s中的三类主体， user， group， serviceAccount
(2)Role：角色，它其实是一组规则，定义了一组对 Kubernetes API 对象的操作权限。
(3)RoleBinding：定义了“被作用者”和“角色”的绑定关系。

Role 和 ClusterRole

Role是一系列的权限的集合，Role只能授予单个namespace 中资源的访问权限。

ClusterRole 跟 Role 类似，但是可以在集群中全局使用。

RoleBinding和ClusterRoleBinding

RoleBinding是将Role中定义的权限授予给用户或用户组。它包含一个subjects列表(users，groups ，service accounts)，并引用该Role。
RoleBinding是对某个namespace 内授权，ClusterRoleBinding适用在集群范围内使用。

创建一个目录,编辑文件

[root@server2 ~]# mkdir roles
[root@server2 ~]# cd roles/
[root@server2 roles]# vim role.yaml
[root@server2 roles]# cat role.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: myrole
rules:
- apiGroups: [""] 
  resources: ["pods"]    可以对pod进行操作
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]     可以执行的操作种类
[root@server2 roles]# 

创建该角色，发现我们允许执行的操作种类已经写入

编写另一个文件

[root@server2 roles]# vim rolebinding.yaml
[root@server2 roles]# cat rolebinding.yaml 
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default     授权作用与default这个命名空间内
subjects:                              
- kind: User
  name: test            授权对象是test用户
  apiGroup: rbac.authorization.k8s.io
roleRef:                             
  kind: Role                        授权角色是myrole 其中myrole已经列出了可以执行的操作
  name: myrole
  apiGroup: rbac.authorization.k8s.io
[root@server2 roles]# 

应用rolebinding.yaml文件发现用户test已经和角色myrole绑定，subjects是被作用者，而Role则是作用者

切换回test用户，可以执行pod命令，但是查看其他ns的pod被拒绝，这是因为默认查看pod属于ns中的default，查看别的ns则还需要集群角色授权。查看default中的控制器也被拒绝了，这是因为只授权了pod，没有授权deployment
所有ns

创建集群角色ClusterRole
编辑文件

[root@server2 roles]# vim clusterrole.yaml
[root@server2 roles]# cat clusterrole.yaml 
kind: ClusterRole               集群角色
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: myclusterrole
rules:
- apiGroups: [""]
  resources: ["pods"]                     对pod可以操作      
  verbs: ["get", "watch", "list", "delete", "create", "update"]   可以操作的种类                      
- apiGroups: ["extensions", "apps"]
  resources: ["deployments"]             对deployments控制器可以操作
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] 可以操作的种类      

切换回超级用户，查看clusterrole，我们的集群角色myclusterrole已经添加成功
编辑文件

[root@server2 roles]# vim rolebinding.yaml 
[root@server2 roles]# cat rolebinding.yaml 
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: test-read-pods
  namespace: default    
subjects:                              
- kind: User
  name: test
  apiGroup: rbac.authorization.k8s.io
roleRef:                             
  kind: Role
  name: myrole
  apiGroup: rbac.authorization.k8s.io
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: rolebind-myclusterrole
  namespace:  default
roleRef:                      
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole        角色来源为Clusterrole
  name: myclusterrole
subjects:                      
- apiGroup: rbac.authorization.k8s.io
  kind: User             作用对象是test
  name: test

切换到test用户，可以对pod和deployments控制器进行操作

集群角色也有集群绑定方法，可以作用所有ns

编辑文件

[root@server2 roles]# cat clusterbinding.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding       集群绑定
metadata:
  name: clusterrolebinding-myclusterrole
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: myclusterrole
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: test

在超级用户下应用该文件，可以看到clusterbinding集群绑定成功
应用后切换到test用户，可以作用其他ns

5 .服务账户的自动化

服务账户准入控制器（Service account admission controller）

如果该 pod 没有 ServiceAccount 设置，将其 ServiceAccount 设为 default。
保证 pod 所关联的 ServiceAccount 存在，否则拒绝该 pod。
如果 pod 不包含 ImagePullSecrets 设置，那么 将 ServiceAccount 中的 ImagePullSecrets 信息添加到 pod 中。
将一个包含用于 API 访问的 token 的 volume 添加到 pod 中。
将挂载于 /var/run/secrets/kubernetes.io/serviceaccount 的 volumeSource 添加到 pod 下的每个容器中。

Token 控制器（Token controller）

检测服务账户的创建，并且创建相应的 Secret 以支持 API 访问。
检测服务账户的删除，并且删除所有相应的服务账户 Token Secret。
检测 Secret 的增加，保证相应的服务账户存在，如有需要，为 Secret 增加 token。
检测 Secret 的删除，如有需要，从相应的服务账户中移除引用。

服务账户控制器（Service account controller）

服务账户管理器管理各命名空间下的服务账户，并且保证每个活跃的命名空间下存在一个名为 “default” 的服务账户