目录
-
- Role
-
- ClusterRole
-
- RoleBinding
-
- ClusterRoleBinding
- 5.启用 RBAC
Kubernetes中的RBAC(Role-Based Access Control,基于角色的访问控制)是一种机制,用于控制集群内资源的访问权限。RBAC允许管理员通过定义角色(Roles和ClusterRoles)并将其绑定到用户或服务账户(通过RoleBindings和ClusterRoleBindings)来精细地管理访问控制。下面是几个关键概念及其示例:
1. Role
Role 是在特定命名空间中定义的一组权限。它规定了用户或服务账户在这个命名空间里能做什么操作。
示例 YAML 配置(创建一个只读角色):
yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: default
name: read-only
rules:
- apiGroups: [""] # "" indicates the core API group
resources: ["pods", "services"]
verbs: ["get", "list", "watch"]2. ClusterRole
ClusterRole 类似于 Role,但它定义的是集群级别的权限,不局限于某个命名空间。
示例 YAML 配置(创建一个集群级别的管理角色):
yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: cluster-admin-custom
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]3. RoleBinding
RoleBinding 将角色(Role或ClusterRole)绑定到用户或服务账户,且作用于特定命名空间。
示例 YAML 配置(将上述只读角色绑定到一个用户):
yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-only-binding
namespace: default
subjects:
- kind: User
name: alice # 替换为实际用户名
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: read-only
apiGroup: rbac.authorization.k8s.io4. ClusterRoleBinding
ClusterRoleBinding 同样用于绑定角色,但它是集群级别的,可以应用于所有命名空间。
示例 YAML 配置(将集群级别的角色绑定到服务账户):
yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: cluster-admin-binding
subjects:
- kind: ServiceAccount
name: my-service-account
namespace: my-namespace
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: cluster-admin-custom
apiGroup: rbac.authorization.k8s.io5.启用 RBAC
在启动 Kubernetes API 服务器时,需要通过 --authorization-mode=RBAC 参数来启用 RBAC。