第8章 集群安全与RBAC

第8章集群安全与RBAC云原生架构师实战课资深云原生架构师CONTENTSK8s安全全景：集群、节点、容器RBAC详解：权限管理的核心ServiceAccount：Pod的身份标识实战案例：多租户与CI机器人权限常见问题与最佳实践课后实操任务：配置RBAC权限K8s安全全景：构建纵深防御体系集群安全保护K8sAPIServer、etcd等核心组件，控制集群访问入口。节点安全加固运行K8s的节点操作系统，应用安全基线，防止底层渗透。容器安全确保容器镜像的安全，限制容器的权限和资源，防止逃逸攻击。应用安全开发者遵循安全编码规范，保护应用数据，实现代码层面的安全。▍K8s安全分层模型架构图RBAC：最小权限原则的实现什么是RBAC(基于角色的访问控制)RBAC是K8s中实现细粒度权限控制的核心，遵循“最小权限原则”。通过定义“角色”和“角色绑定”，精确控制用户对API资源的操作权限。K8sRBAC的四个核心对象Role(角色)定义一组权限规则（如允许读取Pod），作用域仅限于单个命名空间。ClusterRole(集群角色)与Role类似，但作用于整个集群，适用于集群级资源（如节点）或所有命名空间。RoleBinding(角色绑定)将Role绑定到具体的用户、组或ServiceAccount，实现权限的授予。ClusterRoleBinding(集群角色绑定)将ClusterRole绑定到用户或组，授予集群范围内的权限。RolevsClusterRole：权限的作用域特性Role(命名空间级)ClusterRole(集群级)作用域仅作用于单个命名空间作用于整个集群所有命名空间管理资源命名空间级资源(Pod,Service等)集群级资源(Node,Namespace)、非资源URL、跨命名空间资源创建方式kubectlcreaterolekubectlcreateclusterrole使用场景授予用户在特定命名空间的操作权限集群管理员权限、跨命名空间查看Pod、访问非资源URLRoleBindingvsClusterRoleBinding：权限的绑定方式RoleBinding(命名空间级)绑定对象：Role或ClusterRole作用域：单个命名空间(Namespace)核心效果：将权限授予用户，仅在该命名空间内生效。即使绑定ClusterRole，也受限于命名空间。典型场景：让用户在特定命名空间拥有只读所有Pod的权限。ClusterRoleBinding(集群级)绑定对象：仅支持ClusterRole作用域：整个集群(Cluster-wide)核心效果：将ClusterRole的权限授予用户，使其在所有命名空间内拥有这些权限。典型场景：授予用户集群管理员(cluster-admin)权限。ServiceAccount：Pod的身份标识身份与认证为Pod提供访问K8sAPIServer的身份凭证。Pod通过挂载的Token卷进行身份认证和授权。Pod绑定关系每个Pod默认关联命名空间中的`default`ServiceAccount。容器通过文件系统访问Token。默认安全策略默认ServiceAccount无任何权限，无法访问API。生产环境需通过RBAC显式配置权限。实战案例一：为CI机器人配置只读权限案例背景：最小权限原则场景：CI/CD系统（如Jenkins）需部署应用到K8s集群需求：限制CI机器人账号仅拥有读取Pod/Deployment及更新Deployment的权限，避免过度授权风险。实现步骤：RBAC配置流程创建Role：定义get/list/watch/update权限创建ServiceAccount：为CI机器人创建专用账号绑定RoleBinding：将Role与ServiceAccount关联使用Token：在CI系统中配置ServiceAccountToken实战案例二：基于命名空间的多租户隔离案例背景与需求场景：多团队共享一个K8s集群，需实现严格的资源隔离。目标：确保各团队只能访问和管理自己命名空间内的资源，杜绝越权访问。核心实现步骤(RBAC+Namespace)创建独立Namespace与专用ServiceAccount。定义Role并通过RoleBinding绑定到ServiceAccount。分发kubeconfig，限制用户仅能操作本命名空间资源。架构示意图：命名空间级资源隔离避坑指南：常见问题与最佳实践常见问题排查权限不足(403Forbidden)原因：RoleBinding作用域错误或未授权。排查：kubectlauthcan-i<verb><resource>--as<user>Pod无法访问K8sAPI原因：SA未授权或Token卷未正确挂载。排查：检查YAML中serviceAccountName及Pod内Token文件。安全配置最佳实践最小权限原则(LeastPrivilege)仅授予用户或ServiceAccount完成工作所需的最小权限集合，避免过度授权带来的安全风险。使用专用ServiceAccount严禁使用默认ServiceAccount运行应用。为每个应用单独创建专用SA，实现权限隔离。课后实操：配置RBAC权限任务目标创建名为dev-user的ServiceAccount创建pod-readerRole，限get/list/watch权限绑定Role到dev-user验证权限：仅可查看，不可创建操作步骤1.创建SA:kubectlcreatesadev-user2.创建Role:kubectlcreaterole...3.创建Binding:kubectlcreaterolebinding...4.验证查看:kubectl--as=dev-usergetpods5.验证拒绝:kubectl--as=dev-userrunnginx评判标准成功创建SA、Role和Binding资源使用dev-user身份能成功列出Pod尝试创建Pod时收到权限不足的错误本章总结K8s安全体系K8s安全是一个多层次的纵深防御体系，需要从集群、节点、容器到应用进行层层防护，确保整体架构的安全性。RBAC权限控制通过Role/ClusterRole定义权限，RoleBinding进行绑定，实现了细粒度的访问控制，是保障集群安全的关键。Se