内容简介:权限(Permission)、角色(Role)和主体(Subject)之间的关系:
RBAC
RBAC(Role Based Access Control 基于角色的访问控制) 是安全领域一种授权(Authorization)机制。权限被授予给角色,角色又被赋予给主体。
权限(Permission)、角色(Role)和主体(Subject)之间的关系:
Kubernetes RBAC
Permission
权限在 Kubernetes 中为对资源(Resource)可以执行的操作(Verb)。
通过执行 kubectl api-resources
查看服务支持的资源列表。
资源按范围分为两类:
- 命名空间资源,如
pods
、configmaps
等; - 非命名空间资源,如
nodes
等。
操作包括: get
、 list
、 watch
、 create
、 update
、 patch
和 delete
。
Role
Kubernetes 中的角色按范围分为两类,对应资源:
- Role 作用范围为所在 Namespace;
- ClusterRole 作用范围为集群。
Role 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: my-role namespace: default rules: - apiGroups: [""] resources: ["configmaps"] verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 或者 ["*"]
:point_up_2:角色 my-role 拥有所在 Namespace 的 ConfigMap 资源全部操作权限。
ClusterRole 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: my-cluster-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "list", "watch"]
:point_up_2:角色 my-cluster-role 拥有集群 Pod 资源 get
、 list
和 watch
操作权限。
Subject
Kubernetes 中的主体分为:
- User 用户,外部管理的用户;
- Group 用户组;
- ServiceAccount 服务账号,内部管理的服务账号。默认情况下,Kubernetes 为每个 Namespace 创建了一个名为 default 的 ServiceAccount。
授权
Kubernetes 通过将角色和主体绑定完成授权,按作用范围分为:
- RoleBinding 作用范围为所在 Namespace;
- ClusterRoleBinding 作用范围为集群。
RoleBinding 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: my-role-binding namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: my-role subjects: - kind: ServiceAccount name: default namespace: default
:point_up_2:为 default 绑定了 my-role 角色。
ClusterRoleBinding 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: my-cluster-role-binding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-admin subjects: - kind: ServiceAccount name: default namespace: default
:point_up_2:为 default 绑定了 cluster-admin 角色。
注意:cluster-admin 角色之于 Kubernetes 相当 root 用户之于 Linux,请谨慎操作!
参考
- Using RBAC Authorization - Kubernetes
- Kubernetes RBAC 详解 - 阳明的博客
- 《Kubernetes 权威指南(第 4 版)》
以上所述就是小编给大家介绍的《学习 Kubernetes(二十):RBAC》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 一文读懂监督学习、无监督学习、半监督学习、强化学习这四种深度学习方式
- 学习:人工智能-机器学习-深度学习概念的区别
- 统计学习,机器学习与深度学习概念的关联与区别
- 混合学习环境下基于学习行为数据的学习预警系统设计与实现
- 学习如何学习
- 深度学习的学习历程
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
MongoDB
Kristina Chodorow、Michael Dirolf / O'Reilly Media / 2010-9-24 / USD 39.99
Discover how MongoDB can help you manage a huMONGOus amount of data collected through your web application. This book covers the basic principles and advanced uses of this document-oriented database, ......一起来看看 《MongoDB》 这本书的介绍吧!