如何测试Kubernetes RBAC?
Kubernetes(从1.6版本)引入了基于角色的访问控制(RBAC),允许系统管理员定义策略来限制集群使用者的行为。这意外着创建有限访问权限的用户是可能的。它允许你限制如Secrets等资源的访问,或限制用户对某个命名空间的访问。
本文不会介绍如何实现RBAC,因为它已经有很多不错的详实的资料:
- https://medium.com/containerum ... 17d5d
- https://www.cncf.io/blog/2018/ ... etes/
- https://docs.bitnami.com/kuber ... ster/
- https://kubernetes.io/docs/ref ... rbac/
本文将聚集于怎样使你业务的合规性和需求得到切实满足。为此,我们需要测试被应用的RBAC对象,以确保它们像我们期望地那样工作。
我们的场景
某个组织有多组团队的人员,刚开始上手使用Kubernetes集群。这时要求一个团队不能去修改另一个团队的deployment,否则会导致不可预见的跨团队问题或停机。负责Kubernetes deployment维护的平台团队最近在集群里部署了RBAC,它会将团队成员的访问限制在其对应的命名空间。首先,团队不能看到其它团队命名空间的Pod。
运行一周后,平台团队发现在一个被限制的命名空间的用户一直在读取其它命名空间的Secrets,但这是怎么做到的呢?他们没实现RBAC吗?
事实上,他们做了。但就像对代码一样,我们需要测试我们的系统来看它是否符合期望。庆幸的是,Kubernetes的命令行工具kubectl提供了测试RBAC配置的工具。
kubectl auth can-i
Can I?
can-i只是使用API检查是否某个操作可以被执行。它有以下选项kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL]
现在可以检查当前用户是否可以执行某个操作。我们试一下: kubectl auth can-i create pods
这会返回"yes"或"no"及相应的退出码。
但只要我们尝试测试另一用户的授权,就会碰到障碍。因为用以上指令,我们只能使用当前加载的./kube/config来测试。而每个用户一个文件是很不足取的。好在Kubernetes又提供了使用--as=和--as-group-来模拟用户的能力。
我们修改下指令,来模拟一个不同的用户:
kubectl auth can-i create pods --as=me
我们应该会看到它返回"no"和退出码1。
这很棒,我们现在有了一堆指令来测试一组用户或单个用户是否可以访问任何Kubernetes资源,不论是查看Pod列表还是删除Secrets。
自动化
但我们不要停下来,我们已经为实现一个可以描述需求列表的并且可集成到持续交付流水线的测试集铺平了道路,我们开始吧!要实现自动化,我们有很多技术和编程语言的选择,从JavaScript里的Ava和Mocha到Rspec,这里,我将使用一个纯bash实现的测试框架,它叫 Bats 。
下面是一个例子,它测试一个团队命名空间的用户可以对其deployment做扩缩容。如果该文件设置了可执行权限,它可以像任何shell脚本一样执行,或通过
bats filename
来执行。 #!/usr/bin/env bats @test "Team namespaces can scale deployments within their own namespace" { run kubectl auth can-i update deployments.apps --subresource="scale" --as-group="$group" --as="$user" -n $ns [ "$status" -eq 0 ] [ "$output" == "yes" ] done }
注意一下:
--as
和 --as-group
指令要求使用以下的RBAC规则: rules: - apiGroups: - authorization.k8s.io resources: - selfsubjectaccessreviews - selfsubjectrulesreviews verbs: - create
如上,你有了一个简单的测试Kubernetes RBAC规则的实现方法。将其集成到你的Kubernetes持续交付流水线中,我们就有了一个被验证过的更可靠的RBAC策略配置。这使得破坏策略的变化可以被及早发现。
本文转自DockOne-如何测试Kubernetes RBAC?
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
用Python/Keras/Flask/Docker在Kubernetes上部署深度学习模型
简单到老板也可以亲自部署 这篇博文演示了如何通过Docker和Kubernetes,用Keras部署深度学习模型,并且通过Flask提供REST API服务。 这个模型并不是强壮到可供生产的模型,而是给Kubernetes新手一个尝试的机会。我在Google Cloud上部署了这个模型,而且工作的很好。另外用户可以用同样的步骤重现以上功能。如果用户担心成本,Google提供了大量免费机会,这个演示基本没有花钱。 为什么用Kubernetes来做机器学习和数据科学 Kubernetes以及Cloud Native,正在席卷整个世界,我们已经感受到了。我们正处在一个由AI/Big Data/Cloud驱动的技术风暴中心,Kubernetes也正在加入这个中心。 但是如果从数据科学角度看并没有使用Kubernetes的特殊原因。但是从部署,扩展和管理REST API方面来看,Kubernetes正在实现简易化的特性。 步骤预览 在Google Cloud上创建用户 使用Keras/Flask/Docker搭建一个REST API的机器学习模型服务 用Kubernetes部署上述模型 enjo...
- 下一篇
Kubernetes不同发行版的比较
Kubernetes是目前最为成功和发展最快的IT基础架构项目之一。Kubernetes在2014年作为内部的Google orchestrator Borg的开源版本推出。在2017年各企业使用Kubernetes的情形有所增加,而到了2018年,从软件开发商到航空公司,它已经被广泛应用在各类业务上,Kubernetes之所以能够迅速普及发展的原因之一就在于其开源的架构,以及忠实的社区中所提供的大量帮助手册,各类文档以及技术支持等。 难怪Kubernetes就像任何成功的开源项目一样,在市场上总可以找到几个不同的发行版本(如同Linux一样),用来提供各种额外功能并针对特定类别的用户。 为什么我们会有这么多的发行版本?答案也很明显:每家供应商都希望保证它们的性能。而既然Kubernetes是开源的,提供自有的Kubernetes发行版的公司也就不能出售它,但是,它们却提供对Kubernetes群集的支持和维护(也就是所说的“托管Kubernetes”)。当然,他们更愿意支持他们自己的产品,因此即使他们不对代码进行任何更改,他们也会去测试他们的发行版以了解他们的产品,并且关注在正式场景...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7,CentOS8安装Elasticsearch6.8.6
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,CentOS7官方镜像安装Oracle11G
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- 设置Eclipse缩进为4个空格,增强代码规范
- Mario游戏-低调大师作品
- MySQL8.0.19开启GTID主从同步CentOS8
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16