k8s中 RBAC中,clusterrole,serviceaccount , rolebinding 是什么关系谁先谁后

在Kubernetes的RBAC(Role-Based Access Control)中,ClusterRole、ServiceAccount和RoleBinding是三个关键的组件,它们之间的关系如下:

  1. ClusterRole:ClusterRole 是一种全局的权限规则,它定义了一组权限,可以在整个集群中使用。ClusterRole 中包括了哪些操作可以执行以及访问哪些资源的权限。

  2. ServiceAccount:ServiceAccount 是一个用于标识和验证运行在 Pod 内部的进程的账号。每个 Pod 可以分配一个或多个 ServiceAccount,这些 ServiceAccount可以用来与 ClusterRole 或 Role 进行绑定,从而授予 Pod 中的进程相应的权限。

  3. RoleBinding:RoleBinding 将 Role 或 ClusterRole 与一个或多个 ServiceAccount 绑定在一起,以确定哪些 ServiceAccount 具有哪些权限。RoleBinding 可以在命名空间级别(RoleBinding)或全局级别(ClusterRoleBinding)进行配置。

通常,配置 RBAC 规则的顺序如下:

  1. 创建 ClusterRole:首先,你需要创建一个 ClusterRole 来定义一组权限规则,包括操作和资源的访问权限。

  2. 创建 ServiceAccount:然后,你可以创建一个或多个 ServiceAccount,这些 ServiceAccount将被分配给运行在 Pod 内部的进程。

  3. 创建 RoleBinding 或 ClusterRoleBinding:最后,你可以创建 RoleBinding 或 ClusterRoleBinding 来将 ServiceAccount 与 ClusterRole 或 Role 绑定在一起,以授予 Pod 中的进程相应的权限。如果你在特定命名空间中定义权限规则,使用 RoleBinding;如果你需要全局权限,使用 ClusterRoleBinding。

总结来说,ClusterRole 需要在 ServiceAccount 和 RoleBinding 之前定义,以确保你有一个可供绑定的权限规则。然后,你可以创建 ServiceAccount 并将它们与 ClusterRole 或 RoleBinding 进行绑定,从而为 Pod 分配相应的权限。

相关推荐
阿里云云原生1 小时前
LLM 不断提升智能下限,MCP 不断提升创意上限
云原生
阿里云云原生1 小时前
GraalVM 24 正式发布阿里巴巴贡献重要特性 —— 支持 Java Agent 插桩
云原生
云上艺旅4 小时前
K8S学习之基础七十四:部署在线书店bookinfo
学习·云原生·容器·kubernetes
c无序5 小时前
【Docker-7】Docker是什么+Docker版本+Docker架构+Docker生态
docker·容器·架构
FixBug_Nick5 小时前
使用Docker安装及使用最新版本的Jenkins
docker·容器·jenkins
ghostwritten7 小时前
Run Milvus in Kubernetes with Milvus Operator
容器·kubernetes·milvus
Zero_to_zero12347 小时前
解决docker的ubuntu系统中文乱码问题
ubuntu·docker·容器
@郭小茶7 小时前
docker-compose方式部署docker项目
运维·docker·容器
duration~8 小时前
K8S自定义CRD
容器·贪心算法·kubernetes
ghostwritten10 小时前
Docker Registry Clean
运维·docker·容器