k8s中 RBAC中,clusterrole,serviceaccount , rolebinding 是什么关系谁先谁后

在Kubernetes的RBAC(Role-Based Access Control)中,ClusterRole、ServiceAccount和RoleBinding是三个关键的组件,它们之间的关系如下:

  1. ClusterRole:ClusterRole 是一种全局的权限规则,它定义了一组权限,可以在整个集群中使用。ClusterRole 中包括了哪些操作可以执行以及访问哪些资源的权限。

  2. ServiceAccount:ServiceAccount 是一个用于标识和验证运行在 Pod 内部的进程的账号。每个 Pod 可以分配一个或多个 ServiceAccount,这些 ServiceAccount可以用来与 ClusterRole 或 Role 进行绑定,从而授予 Pod 中的进程相应的权限。

  3. RoleBinding:RoleBinding 将 Role 或 ClusterRole 与一个或多个 ServiceAccount 绑定在一起,以确定哪些 ServiceAccount 具有哪些权限。RoleBinding 可以在命名空间级别(RoleBinding)或全局级别(ClusterRoleBinding)进行配置。

通常,配置 RBAC 规则的顺序如下:

  1. 创建 ClusterRole:首先,你需要创建一个 ClusterRole 来定义一组权限规则,包括操作和资源的访问权限。

  2. 创建 ServiceAccount:然后,你可以创建一个或多个 ServiceAccount,这些 ServiceAccount将被分配给运行在 Pod 内部的进程。

  3. 创建 RoleBinding 或 ClusterRoleBinding:最后,你可以创建 RoleBinding 或 ClusterRoleBinding 来将 ServiceAccount 与 ClusterRole 或 Role 绑定在一起,以授予 Pod 中的进程相应的权限。如果你在特定命名空间中定义权限规则,使用 RoleBinding;如果你需要全局权限,使用 ClusterRoleBinding。

总结来说,ClusterRole 需要在 ServiceAccount 和 RoleBinding 之前定义,以确保你有一个可供绑定的权限规则。然后,你可以创建 ServiceAccount 并将它们与 ClusterRole 或 RoleBinding 进行绑定,从而为 Pod 分配相应的权限。

相关推荐
正怒月神40 分钟前
docker-compose 启动 elk
elk·docker·容器
低调的JVM2 小时前
K8s环境下Java-Agent自动注入方案详解
kubernetes·软件监控·k8s注入
-L712 小时前
【Kubernetes】常见面试题汇总(十九)
云原生·容器·kubernetes
Gss77715 小时前
Docker 公有仓库使用、Docker 私有仓库(Registry)使用总结
docker·容器
暴富奥利奥15 小时前
完成docker方式的ros环境配置
linux·学习·docker·容器
红尘客栈216 小时前
K8s-kubeadmin 1.28安装
java·网络·kubernetes
红尘客栈216 小时前
K8S基本命令操作
linux·容器·kubernetes
我好饿116 小时前
部署k8s集群+containerd+dashboard
云原生·容器·kubernetes
hello_25016 小时前
动手模拟k8s网络-vxlan模式
网络·容器·kubernetes
济南java开发,求内推17 小时前
两台服务器搭建三个节点
云原生·eureka