Le contrôle d'accès basé sur les rôles (RBAC) pour Kubernetes, qu'est-ce que c'est ?

Le contrôle d'accès basé sur les rôles (RBAC) pour Kubernetes est une forme de gestion des identités et des accès qui implique un ensemble d'autorisations ou un modèle qui détermine qui (sujets) peut exécuter quoi (verbes) et où (espaces de noms). Le RBAC est une évolution du traditionnel contrôle d'accès basé sur les attributs (ABAC), qui accorde l'accès en fonction du nom de l'utilisateur plutôt que de ses responsabilités.

Kubernetes (« k8s » ou « kube ») est une plateforme d'orchestration de conteneursOpen Source qui automatise de nombreux processus manuels associés au déploiement, à la gestion et à la mise à l'échelle des applications conteneurisées. 

S'ils sont gérés par Kubernetes, les conteneurs Linux constituent une unité de déploiement et un environnement d'exécution parfaitement adaptés pour les applications basées sur des microservices. Et comme les déploiements Kubernetes sont écrits au format YAML, les utilisateurs peuvent facilement lire le code.

Les rôles accordent différents niveaux d'accès aux pods et aux nœuds. Les rôles peuvent être autorisés à accéder à un groupe spécifique de clusters qui fonctionnent ensemble en tant que charge de travail d'application (les rôles) ou à des clusters entiers (les rôles de clusters).

• Les rôles accordent des autorisations à des groupes de clusters virtuellement liés, appelés espaces de noms. Les rôles sont un type de ressource à espace de noms, car l'accès des utilisateurs à une charge de travail est déterminé par les clusters inclus dans l'espace de noms spécifique. Les utilisateurs, les groupes d'utilisateurs ou les noms de comptes de service peuvent être regroupés dans un seul rôle grâce aux liaisons de rôles.
• Les rôles de clusters accordent des autorisations à des clusters entiers, qui sont des groupes de nœuds matériels individuels. Les rôles de clusters peuvent couvrir plusieurs espaces de noms. Une liaison de rôle de clusters permet de lier un rôle de clusters à chaque espace de noms dans un cluster. Par exemple, le nom de rôle de clusters correspondant à l'administrateur de clusters a un accès illimité à tous les clusters.

Les liaisons de rôles et les autorisations de rôles de clusters peuvent être combinées et empilées à l'aide de métadonnées. Cette technique permet d'accorder les autorisations définies dans un rôle de clusters aux ressources situées dans l'espace de noms de la liaison de rôle, et donc de définir des rôles communs dans un cluster qui peuvent être réutilisés dans plusieurs espaces de noms.

L'interface de programmation d'applications (API) Kubernetes est la partie front-end du plan de contrôle de Kubernetes. L'API Kubernetes communique les interactions avec un ordinateur ou un système pour récupérer des informations ou exécuter une fonction. 

Le RBAC Kubernetes rassemble les demandes de fonctions connexes dans des groupes d'API, qui communiquent avec les serveurs d'API lors de la connexion de certains rôles aux points de terminaison d'API.

Pour plus d'informations sur l'utilisation du RBAC pour Kubernetes (documentation Kubernetes, authentification rbac.authorization.k8s.io, outil en ligne de commande kubectl, modules complémentaires, amorçage TLS des kubelets et configuration des politiques réseau), consultez la documentation sur le RBAC du projet Open Source.

Red Hat a été l'une des premières entreprises à travailler sur le projet Kubernetes avec son créateur, Google, et ce, avant même son lancement. Depuis, elle est devenue le deuxième contributeur principal au projet Kubernetes en amont et a été l'un des premiers éditeurs de logiciels à proposer une plateforme Kubernetes d'entreprise. 

Cette plateforme Kubernetes d'entreprise, c'est Red Hat® OpenShift®, qui comprend tous les composants technologiques supplémentaires rendant Kubernetes plus puissant et viable : mise en réseau, authentification, surveillance, sécurité et automatisation, entre autres. 

Contrairement aux plateformes d'autres fournisseurs qui nécessitent des composants propriétaires, ainsi que des processus complexes, Red Hat OpenShift est une plateforme unique et intégrée pour les équipes d'exploitation et de développement. Elle valide les plug-ins de stockage et de mise en réseau les plus utilisés pour Kubernetes et inclut des solutions intégrées de surveillance, de journalisation et d'analyse.