====== Kubernetes: RBAC теория ======

{{  :devops:k8s:picture.png?nolink&810x364  }}

===== Доступ по сертификату. =====

В Kubernetes пользователей как таковых нет. Но можно эмулировать доступ пользователя используя ssl сертификаты. Для этого имя пользователя добавляют в dn сертификата. Например:

<code>
cn=user,dc=cluster,dc=local

</code>

Генерируем ключ пользователя.

<code>
# openssl genrsa -out user.key 4096

</code>

Создадим временную директорию.

<code>
# mkdir users
# cd users/

</code>

Создадим конфигурационный файл opessl csr.cnf.

<code>
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
CN = user
DC = cluster
DC = local

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth

</code>

Генерируем запрос на сертификат.

<code>
# openssl req -config csr.cnf -new -key user.key -nodes -out user.csr

</code>

Поместим содержимое файла csr в формате base64 в переменную среды окружения BASE64_CSR:

<code>
# export BASE64_CSR=$(cat user.csr | base64 | tr -d '\n')

</code>

Создаём файл csr.yaml с запросом на подпись:
<code>

apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
  name: user_csr
spec:
  groups:
  - system:authenticated
  request: ${BASE64_CSR}
  usages:
  - digital signature
  - key encipherment
  - server auth
  - client auth

</code>

Применяем запрос.

<code>
# cat csr.yaml | envsubst | kubectl apply -f -

</code>

Проверяем наличие запроса:
<code>

# kubectl get csr

</code>

Подписываем и генерируем сертификат:

<code>
# kubectl certificate approve user_csr

</code>

Поместим сертификат пользователя в файл.

<code>
# kubectl get csr user_csr -o jsonpath={.status.certificate} | base64 --decode> user.crt

</code>

Создание файла config\\
Получаем информацию о подключении к кластеру.
<code>

# kubectl cluster-info

</code>

Нас интересует строка

<code>
Kubernetes master is running at https://192.168.218.49:6443

</code>

Начинаем создавать файл конфигурации.\ Сначала добавим информацию о кластере.

<code>
# kubectl config --kubeconfig=./config set-cluster k8s --server=https://192.168.218.49:6443 \
--certificate-authority=/etc/kubernetes/pki/ca.crt --embed-certs=true

</code>

Добавляем пользователя.

<code>
# kubectl config --kubeconfig=./config set-credentials user --client-key=user.key --client-certificate=user.crt --embed-certs=true

</code>

Определяем контекст.

<code>
# kubectl config --kubeconfig=./config set-context default --cluster=k8s --user=user --namespace kubetest

</code>

Устанавливаем контекст по умолчанию.

<code>
# kubectl config --kubeconfig=./config use-context default

</code>

Проверяем доступ к серверу

<code>
# kubectl --kubeconfig=./config -n kubetest get pods

</code>

Мы должны получить сообщение об ошибке доступа пользователя artur к ресурсу. Это нормально. На данном этапе мы сконфигурировали доступ к кластеру для пользователя – конфигурационный файл для программы kubectl.

Доступ к элементам API кластера мы будем описывать отдельно.

Скопируйте полученный config файл в домашнюю директорию пользователя artur:

<code>
# mkdir /home/user/.kube
# cp config /home/user/.kube
# chown -R user:user /home/user/.kube

</code>

===== ServiceAccount =====

ServiveAccount используют для доступа к API Kubernetes из приложений.\\
Когда в системе создаётся pod, ему по умолчанию присваивается default ServiceAccount текущего namespace.\\
Посмотреть ServiceAccount в namespace можно следующим образом:

<code>
# kubectl -n kubetest get serviceaccounts

</code>

Создавать ServiceAccount можно прямо в командной строке:

<code>
# kubectl -n kubetest create serviceaccount testaccount

</code>

Или при помощи yaml файла:

<code>
apiVersion: v1
kind: ServiceAccount
metadata:
  name: testaccount
  namespace: kubetest
# kubectl apply -f file.yaml

</code>

Если приложение (pod) запускается без явного указания ServiceAccount, ему присваивается ServiceAccount default.

Для определения ServiceAccount, при описании пода используйте serviceAccountName.

При запуске приложения ему автоматически подключается директория /var/run/secrets/kubernetes.io/serviceaccount в которой находятся файлы:

  * ca.crt – сертификат CA кластера.
  * Namespace – содержит имя namespace, в котором находится pod.
  * token – содержит токен, используемый для доступа к API кластера.

Если вы хотите получать доступ к API кластера не из приложения, а, например из командной строки при помощи curl. Необходимо получить токен соответствующего ServiceAccount:

<code>
# kubectl -n kubetest get secret $(kubectl -n kubetest get serviceaccount kubetest-account \
-o jsonpath="{.secrets[0].name}") -o jsonpath="{.data.token}" | base64 –decode

</code>