内容简介:权限(Permission)、角色(Role)和主体(Subject)之间的关系:
RBAC
RBAC(Role Based Access Control 基于角色的访问控制) 是安全领域一种授权(Authorization)机制。权限被授予给角色,角色又被赋予给主体。
权限(Permission)、角色(Role)和主体(Subject)之间的关系:
Kubernetes RBAC
Permission
权限在 Kubernetes 中为对资源(Resource)可以执行的操作(Verb)。
通过执行 kubectl api-resources 查看服务支持的资源列表。
资源按范围分为两类:
- 命名空间资源,如
pods、configmaps等; - 非命名空间资源,如
nodes等。
操作包括: get 、 list 、 watch 、 create 、 update 、 patch 和 delete 。
Role
Kubernetes 中的角色按范围分为两类,对应资源:
- Role 作用范围为所在 Namespace;
- ClusterRole 作用范围为集群。
Role 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: my-role
namespace: default
rules:
- apiGroups: [""]
resources: ["configmaps"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 或者 ["*"]
:point_up_2:角色 my-role 拥有所在 Namespace 的 ConfigMap 资源全部操作权限。
ClusterRole 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: my-cluster-role
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]
:point_up_2:角色 my-cluster-role 拥有集群 Pod 资源 get 、 list 和 watch 操作权限。
Subject
Kubernetes 中的主体分为:
- User 用户,外部管理的用户;
- Group 用户组;
- ServiceAccount 服务账号,内部管理的服务账号。默认情况下,Kubernetes 为每个 Namespace 创建了一个名为 default 的 ServiceAccount。
授权
Kubernetes 通过将角色和主体绑定完成授权,按作用范围分为:
- RoleBinding 作用范围为所在 Namespace;
- ClusterRoleBinding 作用范围为集群。
RoleBinding 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: my-role-binding
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: my-role
subjects:
- kind: ServiceAccount
name: default
namespace: default
:point_up_2:为 default 绑定了 my-role 角色。
ClusterRoleBinding 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: my-cluster-role-binding
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: default
namespace: default
:point_up_2:为 default 绑定了 cluster-admin 角色。
注意:cluster-admin 角色之于 Kubernetes 相当 root 用户之于 Linux,请谨慎操作!
参考
- Using RBAC Authorization - Kubernetes
- Kubernetes RBAC 详解 - 阳明的博客
- 《Kubernetes 权威指南(第 4 版)》
以上所述就是小编给大家介绍的《学习 Kubernetes(二十):RBAC》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 一文读懂监督学习、无监督学习、半监督学习、强化学习这四种深度学习方式
- 学习:人工智能-机器学习-深度学习概念的区别
- 统计学习,机器学习与深度学习概念的关联与区别
- 混合学习环境下基于学习行为数据的学习预警系统设计与实现
- 学习如何学习
- 深度学习的学习历程
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
