【k8s】serviceAccount、role、RoleBinding入门示例

文章目录

RBAC(基于角色的访问控制,Role-Based Access Control)是Kubernetes中用于管理权限的机制。要在Kubernetes环境中创建并演示一个RBAC权限设置的例子,你可以按照以下步骤操作:

  1. 创建一个命名空间
    首先,创建一个新的命名空间,以便在其中演示RBAC的配置。
bash 复制代码
kubectl create namespace demo-rbac
  1. 创建一个ServiceAccount
    接下来,在这个命名空间中创建一个ServiceAccount。这个ServiceAccount会与RBAC绑定,从而获得特定权限。
html 复制代码
kubectl create serviceaccount demo-user -n demo-rbac
  1. 创建一个Role
    创建一个Role,并定义该角色在特定命名空间中的权限。例如,以下Role允许demo-user在demo-rbac命名空间中查看和列出Pods。
html 复制代码
# role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: demo-rbac
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]

应用这个Role:

html 复制代码
kubectl apply -f role.yaml

注意:Role是区分命名空间的,因此,在查询的时候,也需要指定 -n 参数

  1. 创建一个RoleBinding
    将这个Role绑定到刚才创建的ServiceAccount上,使得该ServiceAccount可以使用指定的权限。
toml 复制代码
# rolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: demo-rbac
subjects:
- kind: ServiceAccount
  name: demo-user
  namespace: demo-rbac
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

应用这个RoleBinding:

html 复制代码
kubectl apply -f rolebinding.yaml

注意:rolebinding是区分命名空间的,因此,在查询的时候,也需要指定 -n 参数

  1. 使用kubectl命令行验证权限
    验证这个ServiceAccount是否拥有正确的权限。为了模拟用户使用这个ServiceAccount进行操作,可以通过kubectl命令使用--as标志来执行操作。

例如,尝试在demo-rbac命名空间中列出Pods:

html 复制代码
kubectl get pods -n demo-rbac --as=system:serviceaccount:demo-rbac:demo-user

如果设置正确,这个命令会返回命名空间中的Pod列表。

  1. 验证无权限操作
    尝试执行未授予权限的操作,例如删除一个Pod:
html 复制代码
kubectl delete pod <pod-name> -n demo-rbac --as=system:serviceaccount:demo-rbac:demo-user

你会看到一个错误,表明没有删除Pod的权限。

或者 查看 role的操作,也会没权限:

html 复制代码
kubectl get role -n demo-rbac --as=system:serviceaccount:demo-rbac:demo-user
相关推荐
leijiwen2 小时前
Bsin-PaaS(毕昇)——LinkLifeVerse OS 的产业智能工程底座
云原生·云计算·paas
Sagittarius_A*12 小时前
Docker:渗透前置容器化核心基础
运维·安全·docker·容器
成为你的宁宁12 小时前
【Kubernetes集群证书续签】
kubernetes·证书过期
名字还没想好☜14 小时前
Docker 多阶段构建:把镜像从 1.2GB 砍到 15MB
运维·docker·容器·多阶段构建·镜像优化
her_heart15 小时前
ChatGPT 5.6 实战:用 AI 做云成本治理,从账单复盘到 K8s 优化
人工智能·云原生·chatgpt·kubernetes·测试用例
花和满楼15 小时前
K8s 1.36 ImageVolume GA:OCI 镜像不再只能跑容器
java·容器·kubernetes
生活爱好者!16 小时前
NAS还能玩游戏?部署一款 WebGL 3D 赛车小游戏
游戏·docker·容器·玩游戏
DolphinScheduler社区16 小时前
Apache DolphinScheduler 6 月治理优化,补齐调度运维全链路细节
大数据·运维·云原生·apache·海豚调度
hj28625117 小时前
Docker 核心知识点整理(网络 + Dockerfile + 原理 + 命令)
网络·docker·容器