Kubernetes API访问控制

Kubernetes API访问控制是其安全性的重要组成部分，它确保了对Kubernetes的各种客户端进行认证和鉴权操作。API请求访问的安全性对于这样的系统来说是非常重要的考虑因素，如果不对请求加以限制，那么可能会导致请求被滥用，甚至受到黑客的攻击。

用户可以使用 kubectl、客户端库或构造 REST 请求来访问 Kubernetes API。人类用户和 Kubernetes 服务账号都可以被鉴权访问 API。当请求到达 API 时，它会经历多个阶段，如下图所示：

一、传输安全

默认情况下，Kubernetes API服务器在第一个非localhost网络接口的6443端口上进行监听，并受TLS保护。在一个典型的Kubernetes生产集群中，API使用443端口。该端口可以通过--secure-port标志进行更改，而监听IP地址可以通过--bind-address标志进行更改。

API服务器会出示证书。该证书可以使用私有证书颁发机构（CA）签名，也可以基于链接到公认的CA的公钥基础架构签名。该证书和相应的私钥可以通过使用--tls-cert-file和--tls-private-key-file标志进行设置。

如果你的集群使用私有证书颁发机构，你需要在客户端的~/.kube/config文件中提供该CA证书的副本，以便你可以信任该连接并确认该连接没有被拦截。另外，你的客户端可以在此阶段出示TLS客户端证书。

二、认证

如上图步骤 1 所示，建立 TLS 后，HTTP 请求将进入认证（Authentication）步骤。集群创建脚本或者集群管理员配置 API 服务器，使之运行一个或多个身份认证组件。认证步骤的输入整个 HTTP 请求；但是，通常组件只检查头部或/和客户端证书。

认证模块包含：

• 客户端证书
• 密码
• 普通令牌
• 引导令牌
• JSON Web 令牌（JWT，用于服务账号）

可以指定多个认证模块，在这种情况下，服务器依次尝试每个验证模块，直到其中一个成功。如果请求认证不通过，服务器将以 HTTP 状态码 401 拒绝该请求。反之，该用户被认证为特定的 username，并且该用户名可用于后续步骤以在其决策中使用。部分验证器还提供用户的组成员身份，其他则不提供。

三、鉴权

如上图的步骤 2 所示，将请求验证为来自特定的用户后，请求必须被鉴权。请求必须包含请求者的用户名、请求的行为以及受该操作影响的对象。 如果现有策略声明用户有权完成请求的操作，那么该请求被鉴权通过。

例如，如果 Bob 有以下策略，那么他只能在 projectCaribou 名称空间中读取 Pod。

{
"apiVersion": "abac.authorization.kubernetes.io/v1beta1",
"kind": "Policy",
"spec": {
"user": "bob",
"namespace": "projectCaribou",
"resource": "pods",
"readonly": true
}
}

如果 Bob 执行以下请求，那么请求会被鉴权，因为允许他读取 projectCaribou 名称空间中的对象。

{
"apiVersion": "authorization.k8s.io/v1beta1",
"kind": "SubjectAccessReview",
"spec": {
"resourceAttributes": {
"namespace": "projectCaribou",
"verb": "get",
"group": "unicorn.example.org",
"resource": "pods"
}
}
}

如果 Bob 在 projectCaribou 名字空间中请求写（create 或 update）对象如果 Bob 在 projectCaribou 名字空间中请求写（create 或 update）对象，其鉴权请求将被拒绝。如果 Bob 在诸如 projectFish 这类其它名字空间中请求读取（get）对象，其鉴权也会被拒绝。

Kubernetes 鉴权要求使用公共 REST 属性与现有的组织范围或云提供商范围的访问控制系统进行交互。使用 REST 格式很重要，因为这些控制系统可能会与 Kubernetes API 之外的 API 交互。

Kubernetes 支持多种鉴权模块，例如 ABAC 模式、RBAC 模式和 Webhook 模式等。管理员创建集群时，他们配置应在 API 服务器中使用的鉴权模块。如果配置了多个鉴权模块，则 Kubernetes 会检查每个模块，任意一个模块鉴权该请求，请求即可继续；如果所有模块拒绝了该请求，请求将会被拒绝（HTTP 状态码 403）。

四、准入控制

准入控制模块是可以修改或拒绝请求的软件模块， 除鉴权模块可用的属性外，准入控制模块还可以访问正在创建或修改的对象的内容。

准入控制器可以对创建、修改、删除或（通过代理）连接对象的请求进行操作，但不会对仅读取对象的请求起作用。 有多个准入控制器被配置时，服务器将依次调用它们。

如上图的步骤 3 所示，与身份认证和鉴权模块不同，如果任何准入控制器模块拒绝某请求，则该请求将立即被拒绝。除了拒绝对象之外，准入控制器还可以为字段设置复杂的默认值。可用的准入控制模块在准入控制器中进行了描述。请求通过所有准入控制器后，将使用检验例程检查对应的 API 对象，然后将其写入对象存储（如步骤 4 所示）。

五、审计

Kubernetes 审计提供了一套与安全相关的、按时间顺序排列的记录，其中记录了集群中的操作序列。 集群对用户、使用 Kubernetes API 的应用程序以及控制平面本身产生的活动进行审计。