文章目录
RBAC(基于角色的访问控制,Role-Based Access Control)是Kubernetes中用于管理权限的机制。要在Kubernetes环境中创建并演示一个RBAC权限设置的例子,你可以按照以下步骤操作:
- 创建一个命名空间
首先,创建一个新的命名空间,以便在其中演示RBAC的配置。
bash
kubectl create namespace demo-rbac- 创建一个ServiceAccount
接下来,在这个命名空间中创建一个ServiceAccount。这个ServiceAccount会与RBAC绑定,从而获得特定权限。
html
kubectl create serviceaccount demo-user -n demo-rbac- 创建一个Role
创建一个Role,并定义该角色在特定命名空间中的权限。例如,以下Role允许demo-user在demo-rbac命名空间中查看和列出Pods。
html
# role.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: demo-rbac
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list"]应用这个Role:
html
kubectl apply -f role.yaml注意:Role是区分命名空间的,因此,在查询的时候,也需要指定 -n 参数
- 创建一个RoleBinding
将这个Role绑定到刚才创建的ServiceAccount上,使得该ServiceAccount可以使用指定的权限。
toml
# rolebinding.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
namespace: demo-rbac
subjects:
- kind: ServiceAccount
name: demo-user
namespace: demo-rbac
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io应用这个RoleBinding:
html
kubectl apply -f rolebinding.yaml注意:rolebinding是区分命名空间的,因此,在查询的时候,也需要指定 -n 参数
- 使用kubectl命令行验证权限
验证这个ServiceAccount是否拥有正确的权限。为了模拟用户使用这个ServiceAccount进行操作,可以通过kubectl命令使用--as标志来执行操作。
例如,尝试在demo-rbac命名空间中列出Pods:
html
kubectl get pods -n demo-rbac --as=system:serviceaccount:demo-rbac:demo-user如果设置正确,这个命令会返回命名空间中的Pod列表。
- 验证无权限操作
尝试执行未授予权限的操作,例如删除一个Pod:
html
kubectl delete pod <pod-name> -n demo-rbac --as=system:serviceaccount:demo-rbac:demo-user你会看到一个错误,表明没有删除Pod的权限。
或者 查看 role的操作,也会没权限:
html
kubectl get role -n demo-rbac --as=system:serviceaccount:demo-rbac:demo-user