🔴 [High Priority] RBAC 权限控制文档缺失 - Source IP Verification #7
Description
优先级
🔴 高优先级
问题描述
缺少 RBAC/ValidatingWebhook 强制执行注解限制的配置示例。当前仅通过文档建议使用 RBAC 限制,但没有提供具体的实现示例。
影响范围
安全关键功能: 任何有 namespace 编辑权限的用户都可以通过设置 config.cilium.io/allow-disable-source-ip-verification 注解来禁用整个 namespace 的 IP 验证功能,存在安全风险。
相关代码位置
- 文件:
pkg/annotation/k8s.go:205 - PR: 7niu v1.19.0 rc.1 #6
当前状态
- Review 状态: @zbb88888 确认 "后续修复"
- 来源: PR 7niu v1.19.0 rc.1 #6 代码审查反馈
建议的解决方案
- 提供 ValidatingWebhookConfiguration 配置示例
- 提供 RBAC ClusterRole/Role 定义示例
- 在 Helm chart 文档中说明如何限制这些注解的修改权限
- 添加安全最佳实践文档
示例配置
# ValidatingWebhookConfiguration 示例
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
name: cilium-sip-verification-validator
webhooks:
- name: validate-sip-annotations.cilium.io
rules:
- operations: ["CREATE", "UPDATE"]
apiGroups: [""]
apiVersions: ["v1"]
resources: ["namespaces", "pods"]
clientConfig:
service:
name: cilium-admission-webhook
namespace: kube-system
path: /validate-sip-annotations
admissionReviewVersions: ["v1"]
sideEffects: None# RBAC 限制示例
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: cilium-sip-annotation-admin
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs: ["update", "patch"]相关链接
- PR 7niu v1.19.0 rc.1 #6: 7niu v1.19.0 rc.1
此 issue 由 PR #6 code review 自动生成