13、Kubernetes 集群授权与准入控制详解

Kubernetes 集群授权与准入控制详解

1. 授权模块概述

Kubernetes 支持多种授权模块，包括：
- ABAC（Attribute-Based Access Control）
- RBAC（Role-Based Access Control）
- 节点授权（Node authorization）
- 网络钩子（Webhook）
- 自定义模块（Custom modules）

在 RBAC 引入之前，ABAC 是主要的授权模式。节点授权由 kubelet 用于向 API 服务器发出请求。Kubernetes 支持网络钩子授权模式，可与外部 RESTful 服务建立 HTTP 回调。此外，还可以通过实现自定义模块来进行授权。接下来，我们将重点介绍如何在 Kubernetes 中使用 RBAC。

2. 基于角色的访问控制（RBAC）

自 Kubernetes 1.6 起，RBAC 默认为启用状态。在 RBAC 中，管理员创建多个角色（Roles）或集群角色（ClusterRoles），这些角色定义了细粒度的权限，指定了角色可以访问和操作的资源和操作（动词）集合。然后，管理员通过角色绑定（RoleBinding）或集群角色绑定（ClusterRoleBindings）将角色权限授予用户。

不同环境下启用 RBAC 的操作如下：
-minikube：使用minikube start时添加--extra-config=apiserver.Authorization.Mode=RBAC