Управление доступом в кластере Managed Kubernetes с помощью пользовательских ролей

Вы можете создавать новые пользовательские роли для управления доступом к ресурсам сервиса Managed Kubernetes, если стандартных ролей Kubernetes API недостаточно.

Чтобы создать пользовательскую роль, которая предоставляет права администратора в определенном пространстве имен:

Создайте пространство имен.
Создайте роль.
Назначьте роль сервисному аккаунту.
Подготовьте сервисный аккаунт к работе с кластером.
Проверьте права.

От имени сервисного аккаунта, которому вы назначите новую роль, можно будет просматривать ресурсы и работать с ними только в выбранном пространстве имен. Вместо сервисного аккаунта также можно использовать федеративного пользователя.

Перед началом работы

Создайте сервисные аккаунты:
- sa-admin с ролью mk8s.clusterAdmin;
- sa-user без ролей — для этого сервисного аккаунта будет создана пользовательская роль Kubernetes API.
Создайте авторизованные ключи для сервисных аккаунтов.
Установите утилиту MWS CLI.

Аутентифицируйтесь в MWS CLI от имени сервисного аккаунта sa-admin:

1
mws init --service-account-authorized-key "<путь к файлу с авторизованным ключом sa-admin>"

Создайте кластер Managed Kubernetes любой подходящей вам конфигурации.

1. Создайте пространство имен

Подключитесь к кластеру.
Создайте пространство имен в кластере:
bash
```
1
kubectl create namespace my-namespace
```
Ожидаемый результат:
bash
```
1
namespace/my-namespace created
```

2. Создайте роль

Сохраните спецификацию объекта ClusterRole в файл role.yaml:
yaml
```
1
apiVersion: rbac.authorization.k8s.io/v1
2
kind: ClusterRole
3
metadata:
4
  name: namespace-admin
5
rules:
6
- apiGroups: ["", "apps", "batch", "extensions", "networking.k8s.io"]
7
  resources: ["*"]
8
  verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
```
Здесь:
- rules.resources — ресурсы, на которые предоставляются разрешения.
- rules.verbs — действия, которые разрешается выполнять с ресурсами.
Подробнее о спецификации ClusterRole читайте в документации Kubernetes.

Создайте объект:

1
kubectl apply -f role.yaml

Ожидаемый результат:

1
clusterrole.rbac.authorization.k8s.io/namespace-admin created

3. Назначьте роль сервисному аккаунту

Сохраните спецификацию объекта RoleBinding в файл role-binding.yaml:

1
apiVersion: rbac.authorization.k8s.io/v1
2
kind: RoleBinding
3
metadata:
4
  name: binding-for-role
5
  namespace: my-namespace
6
subjects:
7
- kind: User
8
  name: mws:projects/<имя проекта>/serviceAccounts/sa-user
9
  apiGroup: rbac.authorization.k8s.io
10
roleRef:
11
  kind: ClusterRole
12
  name: namespace-admin
13
  apiGroup: rbac.authorization.k8s.io

Здесь metadata.namespace указывает на пространство имен, к которому будет выдан доступ.

Подробнее о спецификации RoleBinding читайте в документации Kubernetes.

Создайте объект:

1
kubectl apply -f role-binding.yaml

Ожидаемый результат:

1
rolebinding.rbac.authorization.k8s.io/binding-for-role created

4. Подготовьте сервисный аккаунт к работе с кластером

Укажите в kubeconfig пространство имен по умолчанию:

1
...
2
- context:
3
    cluster: mws-mk8s-mk8s-<имя проекта>-<имя кластера>
4
    user: mws-mk8s-mk8s-<имя проекта>-<имя кластера>
5
    namespace: my-namespace
6
...

Аутентифицируйтесь в MWS CLI от имени сервисного аккаунта sa-user:

1
mws init --service-account-authorized-key "<путь к файлу с авторизованным ключом sa-user>"

5. Проверьте права

Убедитесь, что есть доступ к пространству имен my-namespace:
bash
```
1
kubectl auth can-i get pods -n my-namespace
```
Ожидаемый результат: yes.
Убедитесь, что нет доступа к другим пространствам имен:
bash
```
1
kubectl auth can-i get pods -n kube-system
```
Ожидаемый результат: no.
(опционально) Передайте kubeconfig и файл с авторизованным ключом для аутентификации в MWS CLI тому, кто будет работать в пространстве имен my-namespace от имени сервисного аккаунта sa-user.

Удалите платные ресурсы

Кластер Managed Kubernetes, созданный в руководстве, тарифицируется. Если вы больше не планируете использовать его, удалите кластер.