kubernetes授权设置
在kubernetes中授权 和 认证是各自独立的部分。认证部分参见 kubernetes认证。
授权操作适用于所有面向于kubernetes api的http请求。
授权 将会针对每一个请求,根据访问策略来检查对比请求中的属性信息(比如 用户,资源,namespace等)。一个API请求必须满足指定的策略才能继续执行。
有如下几种策略方式:
- --authorization_mode=AlwaysDeny
- --authorization_mode=AlwaysAllow
- --authorization_mode=ABAC
AlwaysDeny 阻止所有请求(通常用在测试环境);AlwaysAllow允许所有请求,如果不想用授权机制可以这么设置;ABAC允许用户自定义的授权策略,ABAC的全写为:Attribute-Based Access Control(面向属性的授权控制)。
ABAC Mode
请求属性
在授权设置中,可以用到的属性设置有4个:
- user ,已经被认证的用户;
- 请求是否是只读的;
- 被请求的资源是什么,只接受针对api endpoint的请求,如/api/v1/namespaces/default/pods,对于其他的endpoint,如/version,资源描述则为空string;
- 访问对象的namespace,如果访问的对象不支持namespace,则为空string
授权文件格式
设置参数为: --authorization_policy_file=SOME_FILENAME,这样便开启ABAC模式。
在指定的文件中,一行为一个json对象,这个json对象包含几个map格式,这些map对象有如下:
- user,string类型,对应--token_auth_file 中的user属性;
- readonly,bool类型,当设置为true时,只接受GET请求;
- resource,string类型,请求URL中对应的资源类型,如pod;
- namespace,string类型,对应namespace。
如果属性没有设置,那么默认值为0 或 false 或 空string。
授权算法
一个请求中设置的属性决定了这个请求所能拥有的特性(好绕~)
当收到一个请求,就获取了这个请求应该拥有的相应特性,如果某些属性没有设置,那么会默认设置为这个属性类型对应的空值,如0,false,空string 等。
如果在授权文件中某个属性被重复定义了,那么只要有一个满足授权条件,那么这个请求就被认为是被授权的。
如果在授权条件中将user设置为空,那么不会对任何用户做限制; 如果在授权条件中奖namespace设置为空,那么不对任何namespace做限制。
Examples
- {"user":"alice"}:
用户alice 可以做任何事! - {"user":"kubelet", "resource": "pods", "readonly": true}:
kubelet可以GET任何pod的信息。 - {"user":"kubelet", "resource": "events"}:
kubelet可以对events做任何读写操作。 - {"user":"bob", "resource": "pods", "readonly": true, "ns": "projectCaribou"}:
Bob 仅仅能GET处于namespace projectCaribou下的pod。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。