学习 Kubernetes(二十):RBAC

栏目: IT技术 · 发布时间: 4年前

内容简介:权限(Permission)、角色(Role)和主体(Subject)之间的关系:

RBAC

RBAC(Role Based Access Control 基于角色的访问控制) 是安全领域一种授权(Authorization)机制。权限被授予给角色,角色又被赋予给主体。

权限(Permission)、角色(Role)和主体(Subject)之间的关系:

学习 Kubernetes(二十):RBAC

Kubernetes RBAC

Permission

权限在 Kubernetes 中为对资源(Resource)可以执行的操作(Verb)。

通过执行 kubectl api-resources 查看服务支持的资源列表。

资源按范围分为两类:

  • 命名空间资源,如 podsconfigmaps 等;
  • 非命名空间资源,如 nodes 等。

操作包括: getlistwatchcreateupdatepatchdelete

Role

Kubernetes 中的角色按范围分为两类,对应资源:

  • Role 作用范围为所在 Namespace;
  • ClusterRole 作用范围为集群。

Role 举:chestnut::

apiVersion: rbac.authorization.k8s.io/v1  
kind: Role  
metadata:  
  name: my-role
  namespace: default
rules:  
  - apiGroups: [""]
    resources: ["configmaps"]
    verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]  # 或者 ["*"]

:point_up_2:角色 my-role 拥有所在 Namespace 的 ConfigMap 资源全部操作权限。

ClusterRole 举:chestnut::

apiVersion: rbac.authorization.k8s.io/v1  
kind: ClusterRole  
metadata:  
  name: my-cluster-role
rules:  
  - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "list", "watch"]

:point_up_2:角色 my-cluster-role 拥有集群 Pod 资源 getlistwatch 操作权限。

Subject

Kubernetes 中的主体分为:

  • User 用户,外部管理的用户;
  • Group 用户组;
  • ServiceAccount 服务账号,内部管理的服务账号。默认情况下,Kubernetes 为每个 Namespace 创建了一个名为 default 的 ServiceAccount。

授权

Kubernetes 通过将角色和主体绑定完成授权,按作用范围分为:

  • RoleBinding 作用范围为所在 Namespace;
  • ClusterRoleBinding 作用范围为集群。

RoleBinding 举:chestnut::

apiVersion: rbac.authorization.k8s.io/v1  
kind: RoleBinding  
metadata:  
  name: my-role-binding
  namespace: default
roleRef:  
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: my-role
subjects:  
  - kind: ServiceAccount 
    name: default
    namespace: default

:point_up_2:为 default 绑定了 my-role 角色。

ClusterRoleBinding 举:chestnut::

apiVersion: rbac.authorization.k8s.io/v1  
kind: ClusterRoleBinding  
metadata:  
  name: my-cluster-role-binding
roleRef:  
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:  
  - kind: ServiceAccount 
    name: default
    namespace: default

:point_up_2:为 default 绑定了 cluster-admin 角色。

注意:cluster-admin 角色之于 Kubernetes 相当 root 用户之于 Linux,请谨慎操作!

参考


以上所述就是小编给大家介绍的《学习 Kubernetes(二十):RBAC》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

如何把事情做到最好

如何把事情做到最好

乔治·伦纳德 / 张乐 / 中国青年出版社 / 2014-2 / 29.90元

•改变全球9800万人的人生指导书 •全美第一本系统阐述学习与成功之道的经典著作 •长期盘踞全美畅销书榜单 •21年后,这本传奇之书终于在中国震撼上市 •把事情做到最好,第一不强求天赋,第二不介意起步的早晚,你要做的就是“起步走”并“不停地走” 《如何把事情做到最好》出 版于1992年,经久不衰,经过一代又一代的读者口碑相传后,畅销至今。作者以其独特的视角告诉人们,如......一起来看看 《如何把事情做到最好》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

SHA 加密
SHA 加密

SHA 加密工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换