为K8S集群建立只读权限帐号

参考URL：

https://www.jianshu.com/p/a1a0d64f1245

https://mritd.me/2018/03/20/use-rbac-to-control-kubectl-permissions/

https://studygolang.com/articles/11730?fr=sidebar

公司的k8s集群里的运维用户是为k8s的运维同事增加的。有的研发同事也需要登陆到k8s的master上，查看一些日志，或是了解一下k8s的运行信息。这里，我们就需要新增一个只读权限供研发同事操作。

要建立一个对k8s集群信息只读权限的帐户，重点就是限制用户运行kubectl命令的权限。用户运行kubectl命令时，默认是读取用户目录下的~/.kube/config文件，并将其中的认证信息与k8s集群的api server认证鉴权。之后，就会用提定的权限，与k8s的集群打交道了。

建立一个只读权限的帐号，分为如下三大步骤：

• 使用集群证书为指定用户生成集群认证信息(我们举例的k8s集群用户为xxx)。
• 使用认证信息，生成kube.config文件。
• 建立合适的cluster-role，并将此角色与前面的用户进行clouster-role-binding操作。

一，使用集群证书生成用户认证信息

1，  使用docker帐号登陆k8s集群的master机器。

2，  下载https://pkg.cfssl.org/下的软件放到机器的/tmp/目录。(cfssl,cfssljson)

本来下载的文件为：cfssl_linux-amd64，cfssljson_linux-amd64。最好更改为短名字(后面演示的名称为cfssl和cfssljson)，并使用chmod +x 增加执行权限。

3，  将/etc/kubernetes/pki/目录下的ca.crt和ca.key文件cp到/tmp/目录。

  cp /etc/kubernetes/pki/ca.crt /tmp/ca.crt

  cp /etc/kubernetes/pki/ca.key /tmp/ca.key

4，  在/tmp/目录下生成ca-config.json文件，内容如下：

{

"signing": {

"default": {

"expiry": "87600h"

},

"profiles": {

"kubernetes": {

"usages": [

"signing",

"key encipherment",

"server auth",

"client auth"

],

"expiry": "87600h"

}

}

}

}

5，  在/tmp/目录下生成xxx-csr.json文件，内容如下：

{

"CN": "xxx",

"hosts": [],

"key": {

"algo": "rsa",

"size": 2048

},

"names": [

{

"C": "CN",

"ST": "ShangHai",

"L": "ShangHai",

"O": "k8s",

"OU": "System"

}

]

}

6，  运行如下命令，生成xxx.pem和xxx-key.pem文件。

  ./cfssl gencert -ca=./ca.crt -ca-key=./ca.key -config=./ca-config.json \

             -profile=kubernetes xxx-csr.json | ./cfssljson -bare xxx

二，使用认证信息，生成kube.config文件

1，  将/etc/kubernetes/目录下的admin.conf文件cp到/tmp/目录，并重命名。

  cp /etc/kubernetes/admin.conf ./ro-user.kubeconfig

2，  运行如下xxx.sh脚本，生成最终的config文件。

kubectl config set-credentials xxx \
--client-certificate=xxx.pem \
--client-key=xxx-key.pem \
--embed-certs=true \
--kubeconfig=ro-user.kubeconfig

kubectl config set-context kubernetes \
--cluster=kubernetes \
--user=xxx \
--kubeconfig=ro-user.kubeconfig

kubectl config use-context kubernetes --kubeconfig=ro-user.kubeconfig

3，  将config文件更名为config文件。

  cp ro-user.kubeconfig config

4，  使用研发用户登陆，并将/tmp/config文件cp到~/.kube/目录下。

  mkdir ~/.kube/

  cp /tmp/config ~/.kube/

三，使用K8s的RBAC授权

1，  建立一个cluster-role-ro.yaml文件，生成只读资源。

以下文件，可以在导出集群管理员权限基础之上修改，命令为

  kubectl get clusterrole admin -o yaml >cluster-role-ro.yaml

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cro-readonly
rules:
- apiGroups:
  - ""
  resources:
  - pods
  - pods/attach
  - pods/exec
  - pods/portforward
  - pods/proxy
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - configmaps
  - endpoints
  - persistentvolumeclaims
  - replicationcontrollers
  - replicationcontrollers/scale
  - secrets
  - serviceaccounts
  - services
  - services/proxy
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - bindings
  - events
  - limitranges
  - namespaces/status
  - pods/log
  - pods/status
  - replicationcontrollers/status
  - resourcequotas
  - resourcequotas/status
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - namespaces
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - ""
  resources:
  - serviceaccounts
  verbs:
  - impersonate
- apiGroups:
  - apps
  resources:
  - daemonsets
  - deployments
  - deployments/rollback
  - deployments/scale
  - replicasets
  - replicasets/scale
  - statefulsets
  verbs:
  - get
  - list
  - watch
- apiGroups:
  - autoscaling
  resources:
  - horizontalpodautoscalers
  verbs:
  - get
  - list
  - watch

2，  建立cluster-rolebinding-ro.yaml文件，绑定用户和资源。

apiVersion: rbac.authorization.k8s.io/v1

kind: ClusterRoleBinding

metadata:

name: k8s-ro-cluster

roleRef:

apiGroup: rbac.authorization.k8s.io

kind: ClusterRole

name: cro-readonly

subjects:

- kind: User

name: xxx

apiGroup: rbac.authorization.k8s.io

3，  在运维用户下，使用kubectl apply –f 命令将这两个yaml文件应用于集群。

4，  使用研发用户登陆，并进行命令测试。

比如，运行如下命令，显示OK。

  kubectl --kubeconfig=/tmp/ro-user.kubeconfig get pod --all-namespaces -o wide

再比如，运行如下命令，显示无权限。

  kubectl apply -f xxx-dep-svc.yaml

 

  from server for: "xxx-dep-svc.yaml": deployments.extensions "xxx" is forbidden: User "xxx" cannot get deployments.extensions in the namespace "kube-system"

至此，K8S集群的只读权限帐号建立完成。

后期改进方向：

l  在统一的机器上制作，然后分发。

l  操作脚本化，加快工作效率。