Spring Cloud Kubernetes 项目中 RBAC 权限配置实践

2025-06-23 20:42:01作者：彭桢灵Jeremy

在使用 Spring Cloud Kubernetes 项目时，特别是当集成 spring-cloud-kubernetes-client-discovery 组件时，开发者经常会遇到权限不足的问题。本文将从技术原理和实际配置角度，深入分析这类问题的根源和解决方案。

问题背景

当 Spring Boot 应用部署到 Kubernetes 集群并启用服务发现功能时，应用需要访问 Kubernetes API 来获取服务和端点(Endpoint)信息。默认情况下，Kubernetes 集群中的 Pod 会使用默认服务账户(ServiceAccount)，而这个账户通常没有足够的权限来执行这些操作。

错误现象分析

典型的错误日志会显示类似以下内容：

User "system:serviceaccount:default:mockup" cannot list resource "services" in API group "" in the namespace "default"

这表明应用程序使用的服务账户缺少必要的 Kubernetes API 访问权限。具体来说，应用需要能够：

列出(List)服务(services)资源
列出(List)端点(endpoints)资源
在默认命名空间(default)中执行这些操作

RBAC 权限配置解决方案

要解决这个问题，我们需要为应用程序配置适当的 RBAC (基于角色的访问控制)规则。这通常涉及三个关键 Kubernetes 资源：

ServiceAccount：定义应用程序使用的身份
Role：定义具体的权限规则
RoleBinding：将角色绑定到服务账户

1. 创建专用服务账户

首先，建议为应用程序创建专用的服务账户，而不是使用默认的：

apiVersion: v1
kind: ServiceAccount
metadata:
  name: mockup-service-account
  namespace: default

2. 定义角色权限

接下来，定义角色并授予必要的权限：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: service-discovery-role
rules:
- apiGroups: [""]
  resources: ["services", "endpoints"]
  verbs: ["get", "list", "watch"]

这个角色配置允许对服务和端点资源执行获取(get)、列出(list)和监视(watch)操作。

3. 绑定角色到服务账户

最后，将角色绑定到服务账户：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: mockup-role-binding
  namespace: default
subjects:
- kind: ServiceAccount
  name: mockup-service-account
  namespace: default
roleRef:
  kind: Role
  name: service-discovery-role
  apiGroup: rbac.authorization.k8s.io

部署应用时的注意事项

在部署应用时，需要确保：

在 Pod 规范中指定正确的服务账户：

spec:
  serviceAccountName: mockup-service-account

确保 RBAC 配置在应用部署之前已经创建完成
可以使用 kubectl auth can-i 命令验证权限配置是否正确：

kubectl auth can-i list services --as=system:serviceaccount:default:mockup-service-account
kubectl auth can-i list endpoints --as=system:serviceaccount:default:mockup-service-account