小型的http代理服务, 可以使用SubjectAccessReview对Kubernetes API执行RBAC授权

You may ask yourself, why not just use the Kubernetes apiserver proxy functionality?

There are two reasons why this makes sense,

• the first is to take load off of the Kubernetes API,

so it can be used for actual requests serving the cluster components, rather than in order to serve client requests.

• The second and more important reason is, this proxy is intended to be a sidecar that accepts incoming HTTP requests.

This way, one can ensure that a request is truly authorized, instead of being able to access an application simply because an entity has network access to it.

保证只有授权了的外部请求才能访问这个Pod

即

开发此代理的目的是将请求限制到仅提供有效的RBAC授权令牌或客户端TLS证书的pod。

应用场景:

  代理是为了能够保护普罗米修斯指标的端点。
  在一个场景中，攻击者可能获得对Pod的完全控制，
  攻击者将能够发现大量关于工作负载以及相关工作负载的当前负载的信息

原理

  kube-rbac-proxy首先确定哪个用户在执行请求, 支持客户端使用TLS或者token
  
  对于客户端证书，只需根据配置的CA对证书进行验证。
  
  如果提交了一个承载令牌，则authentication.k8s.io用于执行一个标记检查。

 一旦用户通过了身份验证，再一次authentication.k8s.io用于执行一个SubjectAccessReview，

 为了对各个请求进行授权，需要确保经过身份验证的用户具有所需的RBAC角色。