Kubernetes中的RBAC

目录

    1. Role
    1. ClusterRole
    1. RoleBinding
    1. ClusterRoleBinding
  • 5.启用 RBAC

Kubernetes中的RBAC(Role-Based Access Control,基于角色的访问控制)是一种机制,用于控制集群内资源的访问权限。RBAC允许管理员通过定义角色(Roles和ClusterRoles)并将其绑定到用户或服务账户(通过RoleBindings和ClusterRoleBindings)来精细地管理访问控制。下面是几个关键概念及其示例:

1. Role

Role 是在特定命名空间中定义的一组权限。它规定了用户或服务账户在这个命名空间里能做什么操作。

示例 YAML 配置(创建一个只读角色):

yaml 复制代码
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: read-only
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods", "services"]
  verbs: ["get", "list", "watch"]

2. ClusterRole

ClusterRole 类似于 Role,但它定义的是集群级别的权限,不局限于某个命名空间。

示例 YAML 配置(创建一个集群级别的管理角色):

yaml 复制代码
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin-custom
rules:
- apiGroups: ["*"]
  resources: ["*"]
  verbs: ["*"]

3. RoleBinding

RoleBinding 将角色(Role或ClusterRole)绑定到用户或服务账户,且作用于特定命名空间。

示例 YAML 配置(将上述只读角色绑定到一个用户):

yaml 复制代码
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-only-binding
  namespace: default
subjects:
- kind: User
  name: alice # 替换为实际用户名
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: read-only
  apiGroup: rbac.authorization.k8s.io

4. ClusterRoleBinding

ClusterRoleBinding 同样用于绑定角色,但它是集群级别的,可以应用于所有命名空间。

示例 YAML 配置(将集群级别的角色绑定到服务账户):

yaml 复制代码
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluster-admin-binding
subjects:
- kind: ServiceAccount
  name: my-service-account
  namespace: my-namespace
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin-custom
  apiGroup: rbac.authorization.k8s.io

5.启用 RBAC

在启动 Kubernetes API 服务器时,需要通过 --authorization-mode=RBAC 参数来启用 RBAC。

相关推荐
liulanba14 小时前
八股取士--docker&k8s
docker·容器·kubernetes
桂月二二15 小时前
基于eBPF的云原生网络加速引擎:突破Kubernetes Service转发性能瓶颈
网络·云原生·kubernetes
格桑阿sir19 小时前
Kubernetes控制平面组件:Kubernetes如何使用etcd
kubernetes·k8s·etcd·高可用集群·故障分析·etcd集群调优
格桑阿sir19 小时前
Kubernetes控制平面组件:etcd常用配置参数
kubernetes·etcd·配置参数·etcd容量·磁盘耗尽·碎片整理·灾备与安全
Rocky00000019 小时前
【云原生】最新版Kubernetes集群基于Containerd部署
云原生·容器·kubernetes
全栈工程师修炼指南21 小时前
云原生 | Kubernetes 原生 Dashboard 已升级至 7.10.x 界面更简洁、功能更强大
云原生·容器·kubernetes
2301_793069821 天前
微服务架构,Spring Cloud、Kubernetes 以及云厂商(AWS、Azure)的管理方式
spring cloud·微服务·云原生·架构·kubernetes
慢一点会很快2 天前
K8s学习总结
学习·容器·kubernetes
周周的奇妙编程2 天前
红队视角出发的k8s敏感信息收集——日志与监控系统
云原生·容器·kubernetes
Karoku0662 天前
【k8s应用管理】kubernetes lngress资源管理
运维·docker·云原生·容器·kubernetes