K8S权限控制，限制用户在多个namespace上的访问权限

前言

kubernetes应用越来越广泛，我们kubernetes集群中也会根据业务来划分不同的命名空间，随之而来的就是安全权限问题，我们不可能把集群管理员账号分配给每一个人，有时候可能需要限制某用户对某些特定命名空间的权限，比如开发和测试人员也可能需要登录集群，了解应用的运行情况，查看pod的日志，甚至是修改某些配置。这时候，我们可以通过创建受限的kubeconfig文件，将该config分发给有需要的人员，让他们能通过kubectl命令实现一些允许的操作。

创建集群级别的角色 ClusterRole

clusterrole.dev-log.yaml 用于提供对pod的完全权限和其它资源的查看权限.

# 提供基本权限
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRole
metadata:
  name: dev-log
rules:
- apiGroups:
  - ""
  resources:
  - pods
  - pods/exec
  verbs:
  - create
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - pods
  verbs:
  - delete
- apiGroups:
  - ""
  resources:
  - endpoints
  - services
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - bindings
  - events
  - limitranges
  - namespaces/status
  - pods/log
  - pods/status
  - replicationcontrollers/status
  - resourcequotas
  - resourcequotas/status
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - namespaces
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - apps
  resources:
  - deployments
  - deployments/rollback
  - deployments/scale
  - statefulsets
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - autoscaling
  resources:
  - horizontalpodautoscalers
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - batch
  resources:
  - cronjobs
  - jobs
  - scheduledjobs
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - extensions
  resources:
  - daemonsets
  - deployments
  - ingresses
  - replicasets
  verbs:
  - get
  - list
  - watch

在default命名空间应用配置文件：

$ kubectl apply -f clusterrole.dev-log.yaml -n default
$ kubectl get ClusterRole -n default

在default命名空间创建 ServiceAccount

创建ServiceAccount后，会自动创建一个绑定的 secret ，后面在kubeconfig文件中，会用到该secret中的token.

$ kubectl create serviceaccount dev -n default
$ kubectl get serviceaccount -n default

对ServiceAccount和集群角色建立绑定关系

对需要的namespace进行授权，以下示例为对app命名空间授权。

$ kubectl create rolebinding rbd-dev --clusterrole=dev-log --serviceaccount=default:dev --namespace=app

获取ServiceAccount的secret中的token

$ kubectl get serviceaccounts dev -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: "2020-06-03T06:36:29Z"
  name: dev
  namespace: app
  resourceVersion: "2633621"
  selfLink:xxx
  uid: xx
secrets:
- name: dev-token-v97rh

对应的secret名称为：dev-token-v97rh。

$ kubectl get secrets dev-token-v97rh -o yaml
apiVersion: v1
data:
  ca.crt: xxx
namespace: aGFkb29w
token:  xxx
kind: Secret
metadata:
  annotations:
    kubernetes.io/service-account.name: dev
    kubernetes.io/service-account.uid: xxx
  creationTimestamp: "2020-06-03T06:36:29Z"
  name: dev-token-v97rh
  namespace: app
  resourceVersion: "2633620"
  selfLink: xxx
  uid:xxx
type: kubernetes.io/service-account-token

该secret的token为：
token=xxx
该token是经过base64处理的，需要进行解码处理

$ echo $token | base64 -d
xxx

组装config文件

将token填充到以下的config配置中：

# config
apiVersion: v1
kind: Config
clusters:
- cluster:
    server: K8S集群地址
    certificate-authority-data: "ca.crt后的内容"
  name: k8s-dev
users:
- name: "devlog"
  user:
    token: "解码后的token字符串"
contexts:
- context:
    cluster: dev
    user: "dev"
  name: dev
preferences: {}
current-context: dev

将该文件保存为config 并放入 $HOME/.kube/ 目录下即可。
至此，k8s限制用户在多个namespace上的访问权限操作完成。

后记

K8S权限控制是很复杂的，本文只是最简单的一种，因为工作需要，做个记录。后面有其他的需求再做补充。