内容简介:权限(Permission)、角色(Role)和主体(Subject)之间的关系:
RBAC
RBAC(Role Based Access Control 基于角色的访问控制) 是安全领域一种授权(Authorization)机制。权限被授予给角色,角色又被赋予给主体。
权限(Permission)、角色(Role)和主体(Subject)之间的关系:
Kubernetes RBAC
Permission
权限在 Kubernetes 中为对资源(Resource)可以执行的操作(Verb)。
通过执行 kubectl api-resources 查看服务支持的资源列表。
资源按范围分为两类:
- 命名空间资源,如
pods、configmaps等; - 非命名空间资源,如
nodes等。
操作包括: get 、 list 、 watch 、 create 、 update 、 patch 和 delete 。
Role
Kubernetes 中的角色按范围分为两类,对应资源:
- Role 作用范围为所在 Namespace;
- ClusterRole 作用范围为集群。
Role 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: my-role
namespace: default
rules:
- apiGroups: [""]
resources: ["configmaps"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # 或者 ["*"]
:point_up_2:角色 my-role 拥有所在 Namespace 的 ConfigMap 资源全部操作权限。
ClusterRole 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: my-cluster-role
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]
:point_up_2:角色 my-cluster-role 拥有集群 Pod 资源 get 、 list 和 watch 操作权限。
Subject
Kubernetes 中的主体分为:
- User 用户,外部管理的用户;
- Group 用户组;
- ServiceAccount 服务账号,内部管理的服务账号。默认情况下,Kubernetes 为每个 Namespace 创建了一个名为 default 的 ServiceAccount。
授权
Kubernetes 通过将角色和主体绑定完成授权,按作用范围分为:
- RoleBinding 作用范围为所在 Namespace;
- ClusterRoleBinding 作用范围为集群。
RoleBinding 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: my-role-binding
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: my-role
subjects:
- kind: ServiceAccount
name: default
namespace: default
:point_up_2:为 default 绑定了 my-role 角色。
ClusterRoleBinding 举:chestnut::
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: my-cluster-role-binding
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: default
namespace: default
:point_up_2:为 default 绑定了 cluster-admin 角色。
注意:cluster-admin 角色之于 Kubernetes 相当 root 用户之于 Linux,请谨慎操作!
参考
- Using RBAC Authorization - Kubernetes
- Kubernetes RBAC 详解 - 阳明的博客
- 《Kubernetes 权威指南(第 4 版)》
以上所述就是小编给大家介绍的《学习 Kubernetes(二十):RBAC》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 一文读懂监督学习、无监督学习、半监督学习、强化学习这四种深度学习方式
- 学习:人工智能-机器学习-深度学习概念的区别
- 统计学习,机器学习与深度学习概念的关联与区别
- 混合学习环境下基于学习行为数据的学习预警系统设计与实现
- 学习如何学习
- 深度学习的学习历程
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Data Structures and Algorithms in Java
Robert Lafore / Sams / 2002-11-06 / USD 64.99
Data Structures and Algorithms in Java, Second Edition is designed to be easy to read and understand although the topic itself is complicated. Algorithms are the procedures that software programs use......一起来看看 《Data Structures and Algorithms in Java》 这本书的介绍吧!
