K8s中的RBAC认证授权之基于HTTPS证书给User授权认证

概述

本文主要介绍在K8s中如何使用证书给User进行授权认证。
在生产环境中，当你想给对应的人员分配不同的权限，则可以阅读这篇文章
阅读这篇文章之前，你应该有一些前置知识，应该知道K8s的授权认证

可以阅读这篇文章：一文搞懂K8s中的RBAC认证授权

实操

使用cfssl生成User的CA证书

cfssl可以阅读这篇文章：https://www.cnblogs.com/huangSir-devops/p/18876361

1. ## 创建CA证书
2. [root@master ~/cfssl]# cat ca-config.json
3. {
4.   "signing": {
5.     "default": {
6.        # 配置默认证书有效期为10年
7.       "expiry": "87600h"
8.     },
9.     "profiles": {
10.       "kubernetes": {
11.         "expiry": "87600h",
12.         "usages": ["signing", "key encipherment", "server auth", "client auth"]
13.       }
14.     }
15.   }
16. }
18. # 创建CA证书请求
19. [root@master ~/cfssl]# cat ca-csr.json
20. {
21.   # CN表示用户名称
22.   "CN": "develop",
23.   "hosts": [],
24.   "key": {
25.     # 加密算法
26.     "algo": "rsa",
27.     # 密钥长度
28.     "size": 4096
29.   },
30.   "names": [
31.     {
32.       # 国家代码，CN代表是中国
33.       "C": "CN",
34.       # 省份
35.       "ST": "Beijing",
36.       # 城市或地区
37.       "L": "Beijing",
38.       # 这里O表示用户组
39.       "O": "dev
40.       # 组织单位（Organizational Unit），可以理解成公司部门
41.       "OU": "ca"
42.     }
43.   ]
44. }
46. # 创建证书存储目录
47. [root@master ~/cfssl]# mkdir -p develop
48. # 生成证书
49. [root@master ~/cfssl]# cfssl gencert \
50.   -ca=/etc/kubernetes/pki/ca.crt \
51.   -ca-key=/etc/kubernetes/pki/ca.key \
52.   -config=ca-config.json \
53.   -profile=kubernetes \
54.   ca-csr.json  | cfssljson -bare develop/develop
55. 2025/06/07 13:52:37 [INFO] generate received request
56. 2025/06/07 13:52:37 [INFO] received CSR
58. # 查看文件
59. [root@master ~/cfssl]# tree
60. .
61. ├── ca-config.json
62. ├── ca-csr.json
63. └── develop
64.     ├── develop-key.pem # 公钥
65.     ├── develop.csr
66.     └── develop.pem  # 私钥

复制代码

生成kubeconfig文件

创建集群入口

1. # 配置集群，集群可以设置多套，此处只配置了一套
2. # --certificate-authority
3. #   指定K8s的ca根证书文件路径
4. # --embed-certs
5. #   如果设置为true，表示将根证书文件的内容写入到配置文件中，
6. #   如果设置为false,则只是引用配置文件，将kubeconfig
7. # --server
8. #   指定APIServer的地址。
9. # --kubeconfig
10. #   指定kubeconfig的配置文件名称
11. [root@master ~/cfssl]# kubectl config set-cluster dev \
12.   --certificate-authority=/etc/kubernetes/pki/ca.crt \
13.   --embed-certs=true \
14.   --server=https://apiserver.cluster.local:6443 \
15.   --kubeconfig=develop.kubeconfig
17. # 检查kubeconfig的配置文件
18. [root@master ~/cfssl]# ll develop.kubeconfig
19. -rw------- 1 root root 5336 Jun  4 11:27 develop.kubeconfig

复制代码

设置客户端认证，客户端将来需要携带证书让服务端验证

1. [root@master ~/cfssl]# kubectl config set-credentials develop \
2.   --client-key=/root/cfssl/develop/develop-key.pem \
3.   --client-certificate=/root/cfssl/develop/develop.pem \
4.   --embed-certs=true \
5.   --kubeconfig=develop.kubeconfig

复制代码

设置默认上下文，可以用于绑定多个客户端和服务端的对应关系。

1. [root@master ~/cfssl]# kubectl config set-context develop \
2.   --cluster=dev \
3.   --user=develop \
4.   --kubeconfig=develop.kubeconfig

复制代码

测试使用生成的kubeconfig文件访问K8s集群资源

1. # 设置当前使用的上下文
2. [root@master ~/cfssl]# kubectl config use-context develop --kubeconfig=/root/cfssl/develop.kubeconfig
3. Switched to context "develop"
5. # 访问测试，这里显示无权限
6. [root@master ~/cfssl]# kubectl get po --kubeconfig=/root/cfssl/develop.kubeconfig
7. Error from server (Forbidden): pods is forbidden: User "develop" cannot list resource "pods" in API group "" in the namespace "default"

复制代码

为用户配置Role

上面的步骤，是认证没有问题了，但是对应的用户对集群没有权限操作

1. [root@master ~/role]# cat role-default.yaml
2. apiVersion: rbac.authorization.k8s.io/v1
3. kind: Role
4. metadata:
5.   namespace: default
6.   name: custom-role
7. rules:
8.   # 规则1：操作核心组和 apps 组的 pods、deployments，仅允许 get 和 list
9. - apiGroups: ["","apps"]
10.   resources: ["pods","deployments"]
11.   verbs: ["get", "list"]
13.   # 规则2：操作核心组和 apps 组的 configmaps、secrets、daemonsets，仅允许 get 和 list
14. - apiGroups: ["","apps"]
15.   resources: ["configmaps","secrets","daemonsets"]
16.   verbs: ["get", "list"]
18.   # 规则3：操作核心组的 secrets，允许 delete 和 create
19. - apiGroups: [""]
20.   resources: ["secrets"]
21.   verbs: ["delete","create"]
23. [root@master ~/role]# kubectl apply -f role-default.yaml
25. [root@master ~/role]# kubectl get role custom-role
26. NAME          CREATED AT
27. custom-role   2025-06-07T06:34:52Z
29. # 查看详情
30. [root@master ~/role]# kubectl describe role custom-role
31. Name:         custom-role
32. Labels:       <none>
33. Annotations:  <none>
34. PolicyRule:
35.   Resources         Non-Resource URLs  Resource Names  Verbs
36.   ---------         -----------------  --------------  -----
37.   secrets           []                 []              [get list delete create]
38.   configmaps        []                 []              [get list]
39.   daemonsets        []                 []              [get list]
40.   deployments       []                 []              [get list]
41.   pods              []                 []              [get list]
42.   configmaps.apps   []                 []              [get list]
43.   daemonsets.apps   []                 []              [get list]
44.   deployments.apps  []                 []              [get list]
45.   pods.apps         []                 []              [get list]
46.   secrets.apps      []                 []              [get list]

复制代码

使用RoleBinding关联Role

1. apiVersion: rbac.authorization.k8s.io/v1
2. kind: RoleBinding
3. metadata:
4.   # RoleBinding 名称
5.   name: develope-rolebinding
6.   # 作用的命名空间
7.   namespace: default
8. roleRef:
9.   apiGroup: rbac.authorization.k8s.io
10.   # 引用的角色类型（必须是 Role 或 ClusterRole）
11.   kind: Role
12.   # 引用的角色名称
13.   name: custom-role
14. # 被授权的主体列表
15. subjects:
16. # 主体类型（User/ServiceAccount/Group）
17. - kind: User
18.   # 主体名称，对应生成证书的CN字段
19.   name: develop
20.   #APIGroup 默认是 "rbac.authorization.k8s.io"。这意味着这些权限规则默认只适用于 #RBAC API 资源，例如 Role、RoleBinding、ClusterRole 和 ClusterRoleBinding。
21.   apiGroup: "rbac.authorization.k8s.io"
23. [root@master ~/role]# cat rolebinding-develop.yaml
24. apiVersion: rbac.authorization.k8s.io/v1
25. kind: RoleBinding
26. metadata:
27.   # RoleBinding 名称
28.   name: develope-rolebinding
29.   # 作用的命名空间
30.   namespace: default
31. roleRef:
32.   apiGroup: rbac.authorization.k8s.io
33.   # 引用的角色类型（必须是 Role 或 ClusterRole）
34.   kind: Role
35.   # 引用的角色名称
36.   name: custom-role
37. # 被授权的主体列表
38. subjects:
39. # 主体类型（User/ServiceAccount/Group）
40. - kind: User
41.   # 主体名称，对应生成证书的CN字段
42.   name: develop
43.   #APIGroup 默认是 "rbac.authorization.k8s.io"。这意味着这些权限规则默认只适用于 #RBAC API 资源，例如 Role、RoleBinding、ClusterRole 和 ClusterRoleBinding。
44.   apiGroup: "rbac.authorization.k8s.io"
46. # 创建RoleBinding
47. [root@master ~/role]# kubectl apply -f rolebinding-develop.yaml
49. # 查看RoleBinding
50. rolebinding.rbac.authorization.k8s.io/develope-rolebinding created
51. [root@master ~/role]# kubectl get rolebinding
52. NAME                   ROLE                      AGE
53. develope-rolebinding   Role/custom-role          11s
55. # 查看详情
56. [root@master ~/role]# kubectl describe rolebinding develope-rolebinding
57. Name:         develope-rolebinding
58. Labels:       <none>
59. Annotations:  <none>
60. Role:
61.   Kind:  Role
62.   Name:  custom-role
63. Subjects:
64.   Kind  Name     Namespace
65.   ----  ----     ---------
66.   User  develop

复制代码

再次使用User测试

查看Pod有权限

1. [root@master ~/role]# kubectl get po --kubeconfig=/root/cfssl/develop.kubeconfig
2. NAME                                                     READY   STATUS    RESTARTS   AGE
3. alertmanager-prometheus-kube-prometheus-alertmanager-0   2/2     Running   0          21h
4. nginx-pod                                                0/1     Pending   0          6d16h
5. prometheus-grafana-55cbbf54b7-lmhnd                      3/3     Running   0          20h
6. prometheus-kube-prometheus-operator-847fd659bc-scp4w     1/1     Running   0          21h
7. prometheus-kube-state-metrics-5fb66759db-nb242           1/1     Running   0          21h
8. prometheus-prometheus-kube-prometheus-prometheus-0       2/2     Running   0          16h
9. prometheus-prometheus-node-exporter-89xt7                1/1     Running   0          21h
10. prometheus-prometheus-node-exporter-cn8s4                1/1     Running   0          21h
11. prometheus-prometheus-node-exporter-llqgx                1/1     Running   0          21h

复制代码

删除Pod无权限

1. [root@master ~/role]# kubectl delete po nginx-pod --kubeconfig=/root/cfssl/develop.kubeconfig
2. Error from server (Forbidden): pods "nginx-pod" is forbidden: User "develop" cannot delete resource "pods" in API group "" in the namespace "default"

复制代码

删除Pod需要添加对应的权限

1. # 修改Role
2. [root@master ~/role]# cat role-default.yaml
3. apiVersion: rbac.authorization.k8s.io/v1
4. kind: Role
5. metadata:
6.   namespace: default
7.   name: custom-role
8. rules:
9. - apiGroups: ["","apps"]
10.   resources: ["pods","deployments"]
11.   # 添加delete
12.   verbs: ["get", "list","delete"]
14. - apiGroups: ["","apps"]
15.   resources: ["configmaps","secrets","daemonsets"]
16.   verbs: ["get", "list"]
18. - apiGroups: [""]
19.   resources: ["secrets"]
20.   verbs: ["delete","create"]
22. # 重新应用
23. [root@master ~/role]# kubectl apply -f role-default.yaml
24. role.rbac.authorization.k8s.io/custom-role configured

复制代码

重新测试删除Pod

1. [root@master ~/role]# kubectl delete po nginx-pod --kubeconfig=/root/cfssl/develop.kubeconfig
2. pod "nginx-pod" deleted # 这里显示正常

复制代码

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！