Kubernetes 安全：RBAC、Pod 安全与网络策略

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

Souloss

公告

欢迎来到我的博客！这是一条示例公告

Learn More

标签

1611 字

5 分钟

Kubernetes 安全：RBAC、Pod 安全与网络策略

2024-01-26

云原生

Kubernetes

/

安全

/

云原生

Kubernetes 的安全模型遵循纵深防御原则——从 API 访问控制到 Pod 运行时隔离，从网络策略到密钥管理，每一层都有独立的安全机制。即使某一层被突破，其他层仍然提供保护。

本章从 RBAC 权限模型出发，逐步深入 ServiceAccount 身份管理、Pod 安全标准、容器安全上下文、网络隔离和密钥管理，构建完整的 Kubernetes 安全知识体系。

一、Kubernetes 安全模型概览#

flowchart TB subgraph L1["第一层：API 访问控制"] AUTH["认证 Authentication 你是谁？"] RBAC["RBAC Authorization 你能做什么？"] ADM["准入控制 Admission 这样做合规吗？"] end subgraph L2["第二层：Pod 运行时安全"] PSA["Pod Security Admission 安全标准检查"] SC["SecurityContext 容器权限限制"] end subgraph L3["第三层：网络隔离"] NP["NetworkPolicy Pod 间流量控制"] ING["Ingress TLS 外部流量加密"] end subgraph L4["第四层：密钥管理"] ETCD["etcd 加密 静态数据保护"] ESO["External Secrets 外部密钥管理"] end L1 --> L2 --> L3 --> L4 style L1 fill:#e3f2fd,stroke:#1565c0 style L2 fill:#e8f5e9,stroke:#2e7d32 style L3 fill:#fff3e0,stroke:#e65100 style L4 fill:#f3e5f5,stroke:#6a1b9a

二、RBAC：基于角色的访问控制#

RBAC 是 Kubernetes 的核心授权机制，控制”谁可以对什么资源做什么操作”。

2.1 RBAC 四个核心对象#

graph TB SA["Subject 用户/组/ServiceAccount"] -->|"绑定"| RB["RoleBinding Namespace 级别"] SA -->|"绑定"| CRB["ClusterRoleBinding 集群级别"] RB --> R["Role Namespace 内权限"] RB --> CR["ClusterRole 集群范围权限"] CRB --> CR style SA fill:#e3f2fd,stroke:#1565c0 style R fill:#c8e6c9,stroke:#2e7d32 style CR fill:#fff3e0,stroke:#e65100

对象	作用范围	说明
Role	Namespace	定义 Namespace 内的权限规则
ClusterRole	集群	定义集群范围的权限规则
RoleBinding	Namespace	将 Subject 绑定到 Role/ClusterRole（Namespace 内生效）
ClusterRoleBinding	集群	将 Subject 绑定到 ClusterRole（集群范围生效）

2.2 Role 与 ClusterRole#

Role：Namespace 内的权限

1
apiVersion: rbac.authorization.k8s.io/v1
2
kind: Role
3
metadata:
4
  name: pod-reader
5
  namespace: production
6
rules:
7
  - apiGroups: [""]
8
    resources: ["pods", "pods/log"]
9
    verbs: ["get", "list", "watch"]
10
  - apiGroups: [""]
11
    resources: ["pods/exec"]
12
    verbs: ["create"]            # 允许 exec 进入容器
13
  - apiGroups: ["apps"]
14
    resources: ["deployments"]
15
    verbs: ["get", "list"]
16
    resourceNames: ["nginx"]     # 限制为特定资源名

ClusterRole：集群范围的权限

1
apiVersion: rbac.authorization.k8s.io/v1
2
kind: ClusterRole
3
metadata:
4
  name: node-reader
5
rules:
6
  - apiGroups: [""]
7
    resources: ["nodes"]
8
    verbs: ["get", "list", "watch"]
9
  - apiGroups: [""]
10
    resources: ["namespaces"]
11
    verbs: ["get", "list"]

2.3 RoleBinding 与 ClusterRoleBinding#

RoleBinding：将用户绑定到 Role（Namespace 内生效）

1
apiVersion: rbac.authorization.k8s.io/v1
2
kind: RoleBinding
3
metadata:
4
  name: jane-pod-reader
5
  namespace: production
6
subjects:
7
  - kind: User
8
    name: jane
9
    apiGroup: rbac.authorization.k8s.io
10
roleRef:
11
  kind: Role
12
  name: pod-reader
13
  apiGroup: rbac.authorization.k8s.io

ClusterRoleBinding：将用户绑定到 ClusterRole（集群范围生效）

1
apiVersion: rbac.authorization.k8s.io/v1
2
kind: ClusterRoleBinding
3
metadata:
4
  name: admin-binding
5
subjects:
6
  - kind: User
7
    name: admin
8
    apiGroup: rbac.authorization.k8s.io
9
roleRef:
10
  kind: ClusterRole
11
  name: cluster-admin
12
  apiGroup: rbac.authorization.k8s.io

2.4 常见权限模式#

场景	Role	Binding	说明
开发者查看 Pod	Role (pod-reader)	RoleBinding	只能查看指定 Namespace 的 Pod
CI/CD 部署应用	Role (deployer)	RoleBinding	可以管理 Deployment/Service
集群只读用户	ClusterRole (view)	ClusterRoleBinding	可以查看所有 Namespace 的资源
集群管理员	ClusterRole (cluster-admin)	ClusterRoleBinding	完全控制

2.5 RBAC 排查#

1
# 检查用户是否有权限执行操作
2
kubectl auth can-i get pods --as=jane -n production
3
kubectl auth can-i delete deployments --as=jane -n production
4

5
# 检查 ServiceAccount 的权限
6
kubectl auth can-i list secrets --as=system:serviceaccount:default:my-sa
7

8
# 查看 RoleBinding 详情
9
kubectl describe rolebinding jane-pod-reader -n production
10

11
# 查看 ClusterRole 的规则
12
kubectl describe clusterrole cluster-admin

三、ServiceAccount：Pod 的身份#

每个 Pod 都有一个 ServiceAccount，用于与 API Server 通信。ServiceAccount 是 RBAC 的 Subject 之一。

3.1 默认 ServiceAccount#

每个 Namespace 自动创建一个 default ServiceAccount：

1
kubectl get sa -n production
2
# NAME      SECRETS   AGE
3
# default   0         30d

Pod 未指定 ServiceAccount 时，自动使用 default。

3.2 创建专用 ServiceAccount#

1
apiVersion: v1
2
kind: ServiceAccount
3
metadata:
4
  name: api-reader
5
  namespace: production
6
automountServiceAccountToken: true   # 自动挂载 API Token

1
# Pod 使用专用 ServiceAccount
2
spec:
3
  serviceAccountName: api-reader
4
  containers:
5
    - name: my-app
6
      image: my-app:v1

3.3 Token 挂载机制#

Kubernetes 1.24+ 使用 TokenRequest API 生成短期 JWT Token，自动挂载到 Pod：

1
/var/run/secrets/kubernetes.io/serviceaccount/
2
  ├── ca.crt      # API Server CA 证书
3
  ├── namespace   # Pod 所在 Namespace
4
  └── token       # 短期 JWT Token（默认 1 小时有效期）

Token 自动轮换——kubelet 在 Token 过期前自动向 API Server 请求新 Token，Pod 无感知。

Note

Kubernetes 1.24 之前，ServiceAccount 自动创建长期 Secret Token。1.24+ 不再自动创建，改用 TokenRequest API 生成短期 Token。如果需要长期 Token（如 CI/CD 场景），需要手动创建 Secret 类型为 kubernetes.io/service-account-token。

四、Pod 安全标准与 Pod Security Admission#

Pod 安全标准定义了三种安全级别，Pod Security Admission 在 Namespace 级别强制执行。

4.1 三种安全级别#

级别	说明	典型限制
Privileged	不受限制，完全特权	允许特权容器、hostPath、hostNetwork
Baseline	最小限制，阻止已知提权	禁止特权容器、hostPID/hostIPC、新增能力
Restricted	严格限制，安全最佳实践	禁止所有特权、必须以非 root 运行、禁止新增能力

4.2 配置 Pod Security Admission#

1
apiVersion: v1
2
kind: Namespace
3
metadata:
4
  name: production
5
  labels:
6
    pod-security.kubernetes.io/enforce: restricted      # 强制执行
7
    pod-security.kubernetes.io/audit: restricted        # 审计日志
8
    pod-security.kubernetes.io/warn: restricted         # 警告提示
9
    pod-security.kubernetes.io/enforce-version: v1.29   # 使用 v1.29 版本标准

模式	说明
enforce	违反标准的 Pod 被拒绝创建
audit	违反标准的 Pod 允许创建，但记录审计事件
warn	违反标准的 Pod 允许创建，但 kubectl 输出警告

4.3 Restricted 级别的 Pod 配置#

1
apiVersion: v1
2
kind: Pod
3
metadata:
4
  name: secure-app
5
spec:
6
  securityContext:
7
    runAsNonRoot: true          # 必须以非 root 运行
8
    runAsUser: 1000
9
    fsGroup: 2000
10
    seccompProfile:
11
      type: RuntimeDefault      # 使用默认 seccomp 配置
12
  containers:
13
    - name: app
14
      image: my-app:v1
15
      securityContext:
16
        allowPrivilegeEscalation: false  # 禁止提权
17
        readOnlyRootFilesystem: true     # 只读根文件系统
18
        capabilities:
19
          drop: ["ALL"]                  # 删除所有 Linux 能力
20
      volumeMounts:
21
        - name: tmp
22
          mountPath: /tmp
23
  volumes:
24
    - name: tmp
25
      emptyDir: {}              # 临时目录用于写入

五、SecurityContext：容器安全上下文#

SecurityContext 定义 Pod 和容器的安全配置，控制容器的权限和隔离级别。

5.1 Pod 级别 vs 容器级别#

配置	Pod 级别	容器级别	说明
runAsUser	可	可（覆盖 Pod 级别）	运行容器的 UID
runAsGroup	可	可	运行容器的 GID
fsGroup	可	否	Volume 的 GID
runAsNonRoot	可	可	是否禁止 root 运行
seccompProfile	可	可	seccomp 配置
capabilities	否	可	Linux 能力管理
privileged	否	可	是否为特权容器
readOnlyRootFilesystem	否	可	根文件系统是否只读
allowPrivilegeEscalation	否	可	是否允许提权（setuid）

5.2 Linux Capabilities#

Linux 将 root 权限拆分为细粒度的能力（Capabilities）。Kubernetes 允许精确控制容器拥有的能力：

1
securityContext:
2
  capabilities:
3
    add: ["NET_BIND_SERVICE"]   # 允许绑定 1024 以下端口
4
    drop: ["ALL"]               # 删除所有其他能力

常见能力	说明	风险等级
NET_BIND_SERVICE	绑定 1024 以下端口	低
CHOWN	修改文件所有者	中
NET_RAW	使用原始套接字（ping 等）	中
SYS_ADMIN	系统管理操作	高
SYS_PTRACE	追踪进程	高

Warning

privileged: true 等同于拥有所有 Linux 能力，容器几乎可以访问宿主机的所有设备。仅在系统组件（如 CNI 插件、CSI 插件）中使用。

六、NetworkPolicy：网络隔离#

NetworkPolicy 在 L3/L4 层控制 Pod 间的网络流量。默认情况下，所有 Pod 可以互相通信——NetworkPolicy 实现白名单机制，只允许显式声明的流量。

6.1 默认拒绝所有入站#

1
apiVersion: networking.k8s.io/v1
2
kind: NetworkPolicy
3
metadata:
4
  name: deny-all-ingress
5
  namespace: production
6
spec:
7
  podSelector: {}              # 空选择器 = Namespace 内所有 Pod
8
  policyTypes:
9
    - Ingress                  # 拒绝所有入站

6.2 分层网络策略#

graph TB subgraph 前端层["Frontend app=web"] WEB["Pod: web"] end subgraph API层["API app=api"] API["Pod: api"] end subgraph 数据层["Data app=mysql"] DB["Pod: mysql"] end WEB -->|"允许 :80"| API API -->|"允许 :3306"| DB OTHER["其他 Pod"] -->|"拒绝"| API OTHER2["其他 Pod"] -->|"拒绝"| DB style 前端层 fill:#e3f2fd,stroke:#1565c0 style API层 fill:#e8f5e9,stroke:#2e7d32 style 数据层 fill:#fff3e0,stroke:#e65100

1
# API 层策略：只允许 Frontend 访问
2
apiVersion: networking.k8s.io/v1
3
kind: NetworkPolicy
4
metadata:
5
  name: api-policy
6
  namespace: production
7
spec:
8
  podSelector:
9
    matchLabels:
10
      app: api
11
  policyTypes:
12
    - Ingress
13
    - Egress
14
  ingress:
15
    - from:
16
        - podSelector:
17
            matchLabels:
18
              app: web
19
      ports:
20
        - port: 8080
21
  egress:
22
    - to:
23
        - podSelector:
24
            matchLabels:
25
              app: mysql
26
      ports:
27
        - port: 3306
28
    - to:                        # 允许 DNS 解析
29
        - namespaceSelector: {}
30
      ports:
31
        - port: 53
32
          protocol: UDP

6.3 跨 Namespace 策略#

1
# 允许 monitoring Namespace 的 Pod 访问 metrics
2
ingress:
3
  - from:
4
      - namespaceSelector:
5
          matchLabels:
6
            name: monitoring
7
        podSelector:
8
          matchLabels:
9
            app: prometheus
10
    ports:
11
      - port: 9090

Note

namespaceSelector 和 podSelector 在同一个 from 列表项中是 AND 关系——必须同时满足。不同列表项之间是 OR 关系。

七、Secret 加密与外部密钥管理#

7.1 etcd 静态加密#

默认情况下，Secret 在 etcd 中以 Base64 明文存储。启用加密后，Secret 写入 etcd 前会被加密：

1
# EncryptionConfiguration
2
apiVersion: apiserver.config.k8s.io/v1
3
kind: EncryptionConfiguration
4
resources:
5
  - resources:
6
      - secrets
7
    providers:
8
      - aescbc:
9
          keys:
10
            - name: key1
11
              secret: <base64-encoded-32-byte-key>
12
      - identity: {}            # 回退到明文（用于读取未加密的旧数据）

1
# 配置 API Server 使用加密配置
2
kube-apiserver --encryption-provider-config=/etc/kubernetes/encryption-config.yaml

7.2 External Secrets Operator#

将密钥管理委托给外部系统（如 HashiCorp Vault、AWS Secrets Manager），通过 External Secrets Operator 同步到 Kubernetes Secret：

1
# ExternalSecret 示例
2
apiVersion: external-secrets.io/v1beta1
3
kind: ExternalSecret
4
metadata:
5
  name: db-credentials
6
spec:
7
  refreshInterval: 1h
8
  secretStoreRef:
9
    name: vault-backend
10
    kind: ClusterSecretStore
11
  target:
12
    name: db-credentials        # 同步创建的 Kubernetes Secret 名称
13
  data:
14
    - secretKey: password       # Kubernetes Secret 中的键
15
      remoteRef:
16
        key: secret/data/db     # Vault 中的路径
17
        property: password       # Vault 中的字段

7.3 Sealed Secrets#

Sealed Secrets 允许将加密的 Secret 安全地提交到 Git：

1
# 安装 kubeseal CLI
2
kubeseal --format yaml < secret.yaml > sealed-secret.yaml
3

4
# sealed-secret.yaml 可以安全提交到 Git
5
# 集群中的 Sealed Secrets Controller 解密并创建真正的 Secret
6
kubectl apply -f sealed-secret.yaml

八、安全最佳实践清单#

维度	最佳实践	优先级
RBAC	最小权限原则，避免使用 cluster-admin	高
RBAC	定期审计 RoleBinding/ClusterRoleBinding	高
ServiceAccount	为每个应用创建专用 SA，不使用 default	高
Pod 安全	Namespace 设置 restricted 安全标准	高
Pod 安全	容器以非 root 运行，删除所有能力	高
Pod 安全	根文件系统设为只读	中
网络隔离	Namespace 设置默认拒绝 NetworkPolicy	高
网络隔离	分层网络策略，只允许必要的流量	中
密钥管理	启用 etcd 静态加密	高
密钥管理	使用 External Secrets 对接 Vault	中
密钥管理	不将 Secret YAML 提交到 Git	高
镜像安全	使用最小基础镜像（distroless/alpine）	中
镜像安全	定期扫描镜像漏洞（Trivy/Grype）	中
审计	启用 API Server 审计日志	中

总结#

安全层	核心机制	关键原则
API 访问控制	认证 + RBAC + 准入控制	最小权限
Pod 运行时安全	Pod Security Admission + SecurityContext	纵深防御
网络隔离	NetworkPolicy	白名单机制
密钥管理	etcd 加密 + External Secrets	不信任静态存储