k8s中 RBAC中,clusterrole,serviceaccount , rolebinding 是什么关系谁先谁后

在Kubernetes的RBAC(Role-Based Access Control)中,ClusterRole、ServiceAccount和RoleBinding是三个关键的组件,它们之间的关系如下:

  1. ClusterRole:ClusterRole 是一种全局的权限规则,它定义了一组权限,可以在整个集群中使用。ClusterRole 中包括了哪些操作可以执行以及访问哪些资源的权限。

  2. ServiceAccount:ServiceAccount 是一个用于标识和验证运行在 Pod 内部的进程的账号。每个 Pod 可以分配一个或多个 ServiceAccount,这些 ServiceAccount可以用来与 ClusterRole 或 Role 进行绑定,从而授予 Pod 中的进程相应的权限。

  3. RoleBinding:RoleBinding 将 Role 或 ClusterRole 与一个或多个 ServiceAccount 绑定在一起,以确定哪些 ServiceAccount 具有哪些权限。RoleBinding 可以在命名空间级别(RoleBinding)或全局级别(ClusterRoleBinding)进行配置。

通常,配置 RBAC 规则的顺序如下:

  1. 创建 ClusterRole:首先,你需要创建一个 ClusterRole 来定义一组权限规则,包括操作和资源的访问权限。

  2. 创建 ServiceAccount:然后,你可以创建一个或多个 ServiceAccount,这些 ServiceAccount将被分配给运行在 Pod 内部的进程。

  3. 创建 RoleBinding 或 ClusterRoleBinding:最后,你可以创建 RoleBinding 或 ClusterRoleBinding 来将 ServiceAccount 与 ClusterRole 或 Role 绑定在一起,以授予 Pod 中的进程相应的权限。如果你在特定命名空间中定义权限规则,使用 RoleBinding;如果你需要全局权限,使用 ClusterRoleBinding。

总结来说,ClusterRole 需要在 ServiceAccount 和 RoleBinding 之前定义,以确保你有一个可供绑定的权限规则。然后,你可以创建 ServiceAccount 并将它们与 ClusterRole 或 RoleBinding 进行绑定,从而为 Pod 分配相应的权限。

相关推荐
ejinxian21 小时前
微虚拟机 smolvm 与Docker 容器比较
运维·docker·容器·smolvm
爱码少年1 天前
Docker如何一次查看多个容器日志
运维·docker·容器
蜀道山老天师1 天前
K8s 数据存储全解析:从 EmptyDir 到 PV/PVC
云原生·容器·kubernetes
创世宇图1 天前
【Python工程化实战】Kubernetes 中 Python 应用的优雅启停与健康检查:零停机滚动更新实战
python·云原生·kubernetes·优雅停机
江畔柳前堤1 天前
第16章:docker企业级实战综合项目
运维·git·安全·docker·容器·eureka
zh73141 天前
docker日志监控dozzle,高性能,性能消耗小
运维·docker·容器
weixin_471383031 天前
Docker - 05 - Railway 部署
运维·docker·容器
江畔柳前堤1 天前
第15章:docker故障排查与面试题
大数据·运维·git·elasticsearch·docker·容器·eureka
小二·1 天前
Docker+K8s生产级部署实战:从0到1打造高可用微服务集群
docker·微服务·kubernetes
江畔柳前堤1 天前
第07章:Docker 网络模型
运维·网络·git·elasticsearch·docker·容器·架构