RBAC 权限控制流程
RBAC 权限控制流程
概述
RBAC (Role-Based Access Control) 是 Kubernetes 默认的授权模式,通过 Role 和 RoleBinding 来控制用户对资源的访问权限。
核心概念
1 | ┌─────────────────────────────────────────────────────────────────────────────┐ |
核心数据结构
Role/ClusterRole
1 | // pkg/apis/rbac/types.go |
RoleBinding
1 | type RoleBinding struct { |
授权检查流程
主入口
- 文件:
plugin/pkg/auth/authorizer/rbac/rbac.go - 函数:
RBACAuthorizer.Authorize()
1 | ┌──────────────────────────────────────────────────────────────────────────────┐ |
规则解析器
- 文件:
pkg/registry/rbac/rest/mapping.go - 作用: 解析用户绑定的所有 Role 和 ClusterRole
1 | 1. 获取用户信息 (User.Info) |
关键代码路径
1. RBAC 授权器
- 文件:
plugin/pkg/auth/authorizer/rbac/rbac.go - 核心函数:
Authorize()- 授权检查入口 (第 75 行)RuleAllows()- 规则匹配检查
2. 规则解析
- 文件:
pkg/registry/rbac/rest/mapping.go - 接口:
RequestToRuleMapper - 方法:
RulesFor()- 获取用户所有规则VisitRulesFor()- 遍历用户规则
3. 规则匹配
- 文件:
pkg/apis/rbac/validation/rule.go - 函数:
Covers()- 检查规则覆盖范围
4. Subject 匹配
- 文件:
pkg/registry/rbac/rest/mapping.go - 函数:
subjectsMatch()- 检查用户是否匹配 Subject
权限检查示例
示例 1: 用户获取 Pod
1 | # 请求属性 |
示例 2: ServiceAccount 创建 Secret
1 | # 请求属性 |
权限聚合规则
1. 多个 RoleBinding 聚合
用户的所有 RoleBinding 和 ClusterRoleBinding 的权限会累加:
- 有 get 权限 + 有 create 权限 = 有 get 和 create 权限
2. ClusterRole 的命名空间降级
ClusterRole 可以被 RoleBinding 引用,此时权限被限制在命名空间内:
1 | # ClusterRole |
常见权限配置
1. 只读权限
1 | apiVersion: rbac.authorization.k8s.io/v1 |
2. 管理员权限
1 | apiVersion: rbac.authorization.k8s.io/v1 |
3. 命名空间管理员
1 | apiVersion: rbac.authorization.k8s.io/v1 |
调试技巧
1. 检查用户权限
1 | # 模拟授权检查 |
2. 查看绑定的角色
1 | # 查看 RoleBinding |
3. 排查权限问题
1 | # 查看 apiserver 日志 (需要 v=5 级别) |
性能优化
1. 规则缓存
RBAC Authorizer 会缓存规则解析结果,减少 etcd 查询:
- 文件:
staging/src/k8s.io/apiserver/pkg/authorization/cel
2. 索引优化
RoleBinding 按 Subject 建立索引:
- 文件:
pkg/registry/rbac/rest/rest.go
相关文件清单
| 文件路径 | 说明 |
|---|---|
plugin/pkg/auth/authorizer/rbac/rbac.go |
RBAC 授权器实现 |
pkg/apis/rbac/types.go |
RBAC API 类型定义 |
pkg/registry/rbac/rest/mapping.go |
规则解析器 |
pkg/registry/rbac/rest/rest.go |
RBAC REST API |
pkg/apis/rbac/validation/rule.go |
规则验证 |
staging/src/k8s.io/apiserver/pkg/authorization/authorizer/ |
授权器接口 |
面试题
基础题
1. RBAC 的核心概念有哪些?
参考答案:
- Role:命名空间级别的权限规则集合
- ClusterRole:集群级别的权限规则集合
- RoleBinding:将 Role 绑定到 Subject(命名空间内)
- ClusterRoleBinding:将 ClusterRole 绑定到 Subject(集群范围)
- Subject:权限绑定的目标(User、Group、ServiceAccount)
2. Role 和 ClusterRole 有什么区别?
参考答案:
| 特性 | Role | ClusterRole |
|---|---|---|
| 作用范围 | 单个命名空间 | 整个集群 |
| 可访问资源 | 命名空间资源 | 命名空间资源 + 集群资源 |
| 可被引用 | RoleBinding | RoleBinding + ClusterRoleBinding |
| 典型场景 | 命名空间内权限 | 集群管理、跨命名空间权限 |
3. Subject 有哪几种类型?
参考答案:
1 | subjects: |
中级题
4. PolicyRule 的核心字段有哪些?分别说明含义。
参考答案:
1 | rules: |
说明:
verbs:允许的操作(get/list/watch/create/update/delete/patch/*)apiGroups:API 组(* 表示所有组)resources:资源类型(* 表示所有资源)resourceNames:限制特定资源名称nonResourceURLs:非资源路径(如 /healthz、/metrics)
5. RoleBinding 如何引用 ClusterRole?有什么应用场景?
参考答案:
配置示例:
1 | apiVersion: rbac.authorization.k8s.io/v1 |
应用场景:
- 复用权限定义:定义一次 ClusterRole,在多个命名空间复用
- 跨命名空间授权:给用户在特定命名空间的权限
- 权限降级:将集群级权限限制在命名空间内
注意:权限仍然只在该命名空间内生效!
6. 解释 RBAC 权限的聚合规则。
参考答案:
聚合规则:用户的多个 RoleBinding 的权限会累加。
1 | # RoleBinding 1: 允许读取 Pod |
重要特性:
- 权限是累加的,没有”拒绝”规则
- Deny 需要通过准入控制或其他机制实现
7. ClusterRole 的聚合(Aggregation)功能是什么?
参考答案:
ClusterRole 可以聚合其他 ClusterRole 的规则:
1 | apiVersion: rbac.authorization.k8s.io/v1 |
应用场景:动态组合权限,系统自动聚合匹配的 ClusterRole。
高级题
8. RBAC 授权检查的完整流程是怎样的?
参考答案:
1 | 1. 提取请求属性 |
关键代码:
plugin/pkg/auth/authorizer/rbac/rbac.go:75-Authorize()pkg/registry/rbac/rest/mapping.go-VisitRulesFor()
9. 如何实现权限的”拒绝”功能?
参考答案:
RBAC 本身不支持 Deny 规则,但可以通过以下方式实现:
1. 准入控制 Webhook:
1 | func validate(request *admission.AdmissionRequest) bool { |
2. 准入控制插件:
PodSecurity- 拒绝不安全的 PodResourceQuota- 拒绝超配额请求
3. OPA/Gatekeeper:
1 | apiVersion: templates.gatekeeper.sh/v1 |
10. ServiceAccount 的 RBAC 权限是如何工作的?
参考答案:
1. ServiceAccount 创建:
1 | apiVersion: v1 |
2. 自动创建 Secret(Token):
1 | apiVersion: v1 |
3. 绑定权限:
1 | apiVersion: rbac.authorization.k8s.io/v1 |
4. Pod 使用:
1 | spec: |
11. 解释 system:authenticated 和 system:unauthenticated 组的作用。
参考答案:
| 组 | 说明 | 典型用途 |
|---|---|---|
system:authenticated |
所有已认证用户 | 给登录用户基本权限 |
system:unauthenticated |
所有未认证用户 | 限制匿名访问 |
system:serviceaccounts |
所有 ServiceAccount | 给 SA 基本权限 |
system:serviceaccounts:<ns> |
指定命名空间的 SA | 命名空间 SA 权限 |
示例:
1 | # 给所有认证用户基本发现权限 |
12. 如何调试 RBAC 权限问题?
参考答案:
1. 使用 auth can-i 命令:
1 | # 检查当前用户权限 |
2. 查看绑定:
1 | # 列出所有 RoleBinding |
3. 检查 apiserver 日志:
1 | # 启用详细日志 |
4. 使用 SubjectAccessReview API:
1 | apiVersion: authorization.k8s.io/v1 |
场景题
13. 如何设计一个多租户系统的 RBAC 方案?
参考答案:
1. 角色设计:
1 | # 命名空间管理员 |
2. 自动化绑定:
1 | # 使用 Namespace Controller 自动创建 RoleBinding |
3. 隔离策略:
- 每个租户独立命名空间
- 使用 NetworkPolicy 隔离网络
- 使用 ResourceQuota 限制资源
14. 如何实现跨命名空间的只读权限?
参考答案:
方案 1:使用 ClusterRole + 多个 RoleBinding
1 | # ClusterRole 定义只读权限 |
方案 2:使用 ClusterRoleBinding(谨慎使用)
1 | apiVersion: rbac.authorization.k8s.io/v1 |
15. 如何限制用户只能访问特定名称的资源?
参考答案:
使用 resourceNames 字段:
1 | apiVersion: rbac.authorization.k8s.io/v1 |
注意事项:
- 只适用于 get、update、delete 等操作单个资源的动词
- 不适用于 list、watch、create(无法预先知道名称)
- 可以与通配符
*组合使用
16. 如何防止权限提升(Privilege Escalation)?
参考答案:
1. Kubernetes 内置保护:
- 用户不能创建/更新比自己权限更高的 Role/RoleBinding
- 由
authorization.go中的allowPrivilegeEscalation检查
2. 最佳实践:
1 | # 限制谁可以创建 RoleBinding |
3. 审计和监控:
1 | # 监控 RBAC 变更 |
4. 最小权限原则:
- 使用 view、edit 等内置角色
- 避免使用 cluster-admin
- 定期审查权限
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Joohwan!
alipay
相关推荐
2026-03-25
Kubelet 深度分析
Kubelet 深度分析本文档深入分析 Kubernetes Kubelet 组件的架构设计、启动流程、核心功能和关键子系统。 目录 架构概览 关键数据结构 启动流程分析 核心功能原理 关键子系统详解 5.1 PodManager 5.2 StatusManager 5.3 ProbeManager 5.4 VolumeManager 5.5 EvictionManager 5.6 PLEG 边界情况与错误处理 性能优化 最佳实践 1. 架构概览1.1 Kubelet 在 Kubernetes 架构中的位置Kubelet 是 Kubernetes 集群中运行在每个节点上的核心代理(Node Agent),是 Kubernetes 控制平面与节点级容器运行时之间的桥梁。它负责维护节点上容器的生命周期,并将节点状态上报给 API Server。 在 Kubernetes 整体架构中,Kubelet 处于如下位置: 12345678910111213141516171819202122+-------------------------+ +----------...
2026-03-25
CNI 网络插件流程
CNI 网络插件流程概述CNI (Container Network Interface) 是 Kubernetes 的网络插件标准,负责为 Pod 配置网络接口、IP 地址分配和网络连通性。 核心架构1234567891011121314151617181920212223242526272829303132333435363738394041424344454647┌──────────────────────────────────────────────────────────────────────────────┐│ kubelet ││ pkg/kubelet/kubelet.go ││ ...
2026-03-25
CSI 存储卷挂载通信流程
CSI 存储卷挂载通信流程目标这篇文档只回答一个核心问题:kubelet 如何通过 CSI (Container Storage Interface) 完成 Pod 存储卷的挂载? 重点放在 VolumeManager 与 CSI driver 的交互,以及 attach/mount 的完整流程。 一句话摘要kubelet 的 VolumeManager 通过 CSINode 和 CSIDriver 对象发现 CSI driver,然后通过 gRPC 调用 CSI driver 的 NodeStageVolume/NodePublishVolume 完成卷的挂载。 1. 流程总览从通信视角看,这条链路可以拆成 3 个阶段: 卷准备阶段:CSI controller 完成 attach (对于块存储)。 节点挂载阶段:kubelet 通过 CSI driver 完成 stage 和 publish。 容器挂载阶段:kubelet 将卷 bind mount 到容器内。 架构总览图flowchart TB subgraph 控制面["控制面...
2026-03-25
DNS 解析流程
DNS 解析流程本文档描述 Kubernetes 集群中 CoreDNS 如何解析 Service 到 Pod IP 的完整流程。 概述Kubernetes DNS 解析涉及以下核心组件: CoreDNS:集群 DNS 服务器 kube-dns Service:指向 CoreDNS Pod 的 Service EndpointSlice:记录 CoreDNS Pod 的 IP 地址 Pod /etc/resolv.conf:Pod 内的 DNS 配置 flowchart TD subgraph Pod["Pod (应用容器)"] A["应用发起 DNS 查询"] B["读取 /etc/resolv.conf"] end subgraph CoreDNS["CoreDNS Pod"] C["CoreDNS 服务"] D["Watch API Server&quo...
2026-03-25
Deployment 滚动更新流程
Deployment 滚动更新流程本文档描述 Kubernetes Deployment 如何通过 ReplicaSet Controller 管理滚动更新的完整流程。 概述Deployment 滚动更新涉及以下核心组件: Deployment Controller:管理 Deployment 生命周期 ReplicaSet Controller:管理 Pod 副本数 API Server:存储和分发资源状态 flowchart TD subgraph User["用户操作"] A["kubectl apply -f deployment.yaml"] end subgraph APIServer["API Server"] B["Deployment 资源"] C["ReplicaSet 资源"] D["Pod 资源"] end subgraph ...
2026-03-25
EndpointSlice 控制器流程
EndpointSlice 控制器流程本文档描述 Kubernetes EndpointSlice 控制器如何让 Service 感知后端 Pod 变化的完整流程。 概述EndpointSlice 控制器负责: 监听 Service 和 Pod 变化 生成和管理 EndpointSlice 资源 记录 Service 后端 Pod 的 IP 地址和端口 flowchart TD subgraph APIServer["API Server"] A["Service 资源"] B["Pod 资源"] C["EndpointSlice 资源"] D["Node 资源"] end subgraph EndpointSliceController["EndpointSlice Controller"] E["Watch Service"] ...
评论