本文定位:多集群权限管理面向管理多个 Kubernetes 集群的平台、安全和运维团队,重点讨论统一身份、RBAC 模型、集群级权限、例外授权和审计回收。
多集群权限管理最怕“每个集群临时配一套”。早期只有一两个集群时,手工 RoleBinding 还能勉强维护;当生产、测试、边缘、专有云和公有云集群并存后,同一个人可能在 A 集群是只读,在 B 集群却拥有 cluster-admin,风险很难被及时发现。
如果你正在建设平台级隔离能力,可结合 Kubernetes最佳实践 理解集群治理边界;权限审计本身还应和 Kubernetes审计日志配置 形成操作留痕。
图1:多集群 RBAC 权限边界架构图与审计清单,展示身份源、
权限统一的第一步是身份源统一
RBAC 只负责授权,不负责证明用户是谁。根据 Kubernetes RBAC Authorization 官方文档 ,权限通过 Role、ClusterRole、RoleBinding 和 ClusterRoleBinding 表达,但主体可以是 user、group 或 ServiceAccount。因此多集群场景应先统一身份来源,再谈角色模型。
建议优先确认:
- 用户身份:是否来自统一 IdP,而不是各集群本地账号混用。
- 用户组:平台管理员、业务团队、审计人员、外包人员是否有稳定 group。
- 服务身份:CI/CD、GitOps、监控、备份等系统是否使用独立 ServiceAccount。
- 离职与调岗:身份源变更能否自动影响所有集群授权。
身份源不统一时,RBAC 审计只能看到零散主体,很难判断真实责任人。
多集群 RBAC 模型要区分“角色模板”和“集群绑定”
单集群 RBAC 常见做法是直接创建 RoleBinding。但多集群治理更适合先定义角色模板,再按集群、命名空间和环境绑定。
| 角色模板 | 典型权限 | 绑定范围 |
|---|---|---|
| 只读观察者 | get、list、watch 常用资源 | 单命名空间或业务集群 |
| 应用发布者 | 更新 Deployment、Job、ConfigMap 等应用资源 | 指定业务命名空间 |
| 平台运维 | 维护节点、存储、网络和核心插件 | 指定运维集群或受控生产集群 |
| 安全审计 | 读取资源、事件、审计相关信息 | 多集群只读 |
| 自动化系统 | 按任务授予最小 API 权限 | 单工具、单用途 |
角色模板不能直接等于 cluster-admin
最小权限的重点不是“权限越少越好”,而是权限与职责、环境和时间窗口匹配。尤其是 ClusterRoleBinding,一旦绑定到宽泛 group,影响会覆盖整个集群。
图2:多集群 RBAC 从统一身份、角色模板到生产、测试、边缘
多集群权限管理怎么做审计清单
权限审计不应只导出一份 YAML,而要回答“谁在什么集群能做什么”。根据 Kubernetes ServiceAccount 官方文档 ,ServiceAccount 主要用于 Pod 内进程访问 API Server;如果业务任务复用高权限 ServiceAccount,就会把应用漏洞放大成集群权限风险。
每次审计至少覆盖:
- ClusterRoleBinding:是否存在绑定到全员组、默认组或临时组的高权限角色。
- RoleBinding:是否有跨命名空间复制而未说明用途的授权。
- ServiceAccount:是否被多个应用复用,是否拥有超出任务需要的权限。
- 系统组件:监控、日志、备份、GitOps 控制器是否有独立权限边界。
- 临时授权:是否有过期时间、审批记录和回收责任人。
这份清单适合按月或按季度执行,也适合在新增集群、迁移业务或发生安全事件后专项复查。
集群级权限要用例外流程管理
多集群环境中,集群级权限通常集中在平台团队、网络团队、安全团队和自动化系统。问题不在于完全禁止集群级权限,而在于它是否有明确用途和审计边界。
| 高风险权限 | 常见用途 | 审计重点 |
|---|---|---|
| nodes 写权限 | 节点维护、污点、标签 | 是否限定平台运维组 |
| clusterroles 写权限 | 平台权限模型维护 | 是否双人评审 |
| secrets 读取 | 备份、迁移、排障 | 是否限定命名空间和任务窗口 |
| pods/exec | 线上排障 | 是否有审批和操作记录 |
| admission 配置 | 安全策略治理 | 是否有灰度与回滚 |
临时权限必须能自动过期
人工创建的临时 ClusterRoleBinding 是多集群权限膨胀的常见来源。推荐通过工单、自动化脚本或平台入口创建临时授权,并在到期后自动回收。
ServiceAccount 权限要按系统用途拆分
很多集群权限事故并不是人为账号造成的,而是自动化系统权限过大。例如 CI/CD 工具使用同一个 token 管理所有命名空间,或 GitOps 控制器拥有不受限的集群写权限。
建议拆成这些服务身份:
- 构建系统:只负责镜像构建和制品推送,不直接修改生产集群。
- 部署系统:只对指定应用命名空间拥有更新权限。
- GitOps 控制器:按项目或集群拆分权限,不共享全局管理员凭据。
- 监控系统:优先只读,避免为了采集指标授予写权限。
- 备份系统:按备份对象和恢复流程单独授权。
如果团队使用 GitOps 管理多集群交付,还要同步设计漂移处理和同步权限,避免一个控制器 token 覆盖过大范围。
审计结果要进入修复闭环
权限审计的价值不在“发现多少问题”,而在问题是否能被关闭。建议把结果分成立即修复、限期收敛和例外保留三类。
审计闭环可以按下面推进:
- 列出高风险绑定:先处理 cluster-admin、secrets 读取、pods/exec 等权限。
- 确认责任团队:每条权限都要有业务、平台或工具归属。
- 替换为角色模板:把临时 Role/ClusterRole 收敛到标准角色。
- 设置回收时间:例外授权必须有到期日。
- 复查授权变化:下一轮审计对比新增、删除和保留项。
图3:多集群 RBAC 审计修复闭环从高风险绑定、责任确认、角
小结
多集群权限管理的核心,是把身份、角色、集群、命名空间和审计记录连接起来。RBAC 模型要统一,但授权范围要按环境和职责收敛;ClusterRoleBinding、ServiceAccount 和临时授权是重点审计对象。只有权限能解释、能回收、能追踪,多集群平台才不会随着集群数量增长而积累不可见风险。
原创声明:本文为 CNBPA 云原生社区原创技术内容,非商业转载须注明出处:https://www.cloudnative-tech.com/p/9350/。文中原创图示、架构图和文章内容未经许可不得用于商业转载、培训课件、营销材料或二次分发。
参考资料
常见问题
1. 多集群权限管理一定要用统一身份源吗?
强烈建议使用统一身份源。否则用户离职、调岗、外包账号回收和跨集群责任追踪都会变复杂。RBAC 可以继续在各集群执行,但主体来源应尽量统一。
2. RBAC 审计多久做一次比较合适?
高变化环境建议每月检查高风险授权,季度做一次完整审计。新增集群、上线新平台组件、发生安全事件或大规模团队调整后,应立即做专项审计。
3. ServiceAccount 权限可以复用吗?
可以复用低风险只读权限,但不建议多个系统复用高权限 ServiceAccount。写权限、集群级权限和 secrets 读取权限应按系统用途拆分,便于追踪和回收。
4. 多集群权限管理和多租户隔离是什么关系?
多租户隔离强调资源、网络、命名空间和数据边界;权限管理决定谁能跨越这些边界执行操作。两者需要一起设计,否则隔离规则可能被过宽权限绕过。
