当前位置: 首页 > 文档资料 > Casbin 中文文档 >

Kubernetes 的授权

优质
小牛编辑
142浏览
2023-12-01

K8s-authz 是基于Casbin实现的 Kubernetes (k8s) RBAC & ABAC授权中间件 这个中间件使用 K8s 验证访问 webhook 来检查 casbin 定义的策略,了解每个 K8s 资源的请求。 这些自定义接入控制器在由 api 服务器转发并基于逻辑的请求对象上执行某种验证, 向包含允许或拒绝请求信息的 api 服务器发送回复。 这些控制器使用 ValidatingAdmissionWebhook 在 Kubernetes 注册。

K8s API服务器需要知道何时将传入请求发送到我们的接入控制器。 这方面, 我们已经定义了一个验证 webhook,它将代理任何类型的 K8s 资源/子资源的请求,并对其进行策略核查。 只有在casbin enforcer 授权的情况下,才允许用户利用这些资源进行操作。 enforcer 检查策略中定义的用户的角色。 这种中间件将部署在K8s集群中。

安装要求

在继续之前,请确保以下各项:

  • 正在运行的 k8s 集群。 您可以通过 Docker 桌面上启用它来运行集群,也可以在本地或在您的服务器上设置完整的 K8s 生态系统。 您可以按照这个详细的 指南 来设置本地在 Windows 上的 k8s 集群,如果想要为 Linux 设置,请点击这个 指南
  • Kubectl CLI 这是在Windows上设置它的 指南 。还有这个 Linux的指南
  • OpenSSL

使用方法

  • Generate the certificates and keys for every user by using openssl and running the following script:-
./gen_cert.sh
 docker build -t casbin/k8s_authz:0.1 .
  • model.confpolicy.csv 中定义 casbin 策略。 您可以参考 docs 来了解更多关于这些策略工作的信息。

  • 在部署之前,您可以根据您的用法更改 main.go 的端口,同时也可以更改验证webhook 配置文件 中的端口。

  • 通过运行以下程序来在 k8s 集群上部署验证控制器和 webhook ︰ -

kubectl apply -f deployment.yaml
  • 对于生产服务器,我们需要创建一个 k8s secret 来放置证书以保证安全性。
kubectl create secret generic casbin -n default \
  --from-file=key.pem=certs/casbin-key.pem \
  --from-file=cert.pem=certs/casbin-crt.pem
  • 只要完成了这一部分我们需要更改 证书目录 ,然后在 manifest中用 secret 显示

现在服务器应该运行并准备验证在 k8s 资源上操作的请求。

如果有任何疑问,您可以在我们的 Gitter频道 上询问。

← 性能优化Authorization of Service Mesh through Envoy →