K8S学习之基础三十一:k8s中RBAC 的核心概念

云上艺旅2025-03-17 12:17

Kubernetes (k8s) 中的 RBAC(Role-Based Access Control,基于角色的访问控制)是一种用于管理用户和服务账户对集群资源访问权限的机制。RBAC 允许管理员通过定义角色(Role)和角色绑定(RoleBinding)来精确控制谁可以在哪些资源上执行哪些操作。

RBAC 的核心概念

  1. Role:

    • 定义了一组权限,指定了可以对哪些资源执行哪些操作。

    • Role 是命名空间(Namespace)级别的,即它只适用于特定的命名空间。

      复制代码 
      apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""] # "" 表示核心 API 组
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

      这个 Role 允许用户在 default 命名空间中获取、查看和列出 Pod。

  2. ClusterRole:

    • 类似于 Role,但它是集群级别的,适用于整个集群,而不仅仅是某个命名空间。

      复制代码 
      apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin
rules:
- apiGroups: [""]
  resources: ["*"]
  verbs: ["*"]

      这个 ClusterRole 允许用户对所有资源执行所有操作。

  3. RoleBinding:

    • 将 Role 或 ClusterRole 绑定到用户、组或服务账户(ServiceAccount)。

    • RoleBinding 是命名空间级别的,即它只适用于特定的命名空间。

      复制代码 
      apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
  namespace: default
subjects:
- kind: User
  name: alice
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

      这个 RoleBinding 将 pod-reader Role 绑定到用户 alice,允许她在 default 命名空间中读取 Pod。

  4. ClusterRoleBinding:

    • 类似于 RoleBinding,但它是集群级别的,适用于整个集群。

      复制代码 
      apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluster-admin-binding
subjects:
- kind: User
  name: admin
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

      这个 ClusterRoleBinding 将 cluster-admin ClusterRole 绑定到用户 admin,允许她对整个集群中的所有资源执行所有操作。

RBAC 的常见操作

  • 创建 Role 和 RoleBinding:

    • 使用 kubectl create rolekubectl create rolebinding 命令可以快速创建 Role 和 RoleBinding。

      复制代码 
      kubectl create role pod-reader --verb=get,list,watch --resource=pods
kubectl create rolebinding read-pods --role=pod-reader --user=alice

  • 查看 Role 和 RoleBinding:

    • 使用 kubectl get rolekubectl get rolebinding 命令可以查看现有的 Role 和 RoleBinding。

      复制代码 
      kubectl get role -n default
kubectl get rolebinding -n default

  • 删除 Role 和 RoleBinding:

    • 使用 kubectl delete rolekubectl delete rolebinding 命令可以删除 Role 和 RoleBinding。

      复制代码 
      kubectl delete role pod-reader -n default
kubectl delete rolebinding read-pods -n default

RBAC 的最佳实践

  1. 最小权限原则 :
    • 只授予用户或服务账户完成其任务所需的最小权限。
    • 避免使用过于宽泛的权限,如 cluster-admin,除非确实需要。
  2. 使用命名空间隔离 :
    • 将不同的应用或团队分配到不同的命名空间,并使用 Role 和 RoleBinding 来控制权限。
  3. 定期审计权限 :
    • 定期检查 Role 和 RoleBinding,确保没有不必要的权限被授予。
  4. 使用 ServiceAccount :
    • 为每个应用或服务创建专用的 ServiceAccount,并为其分配适当的权限,而不是使用默认的 ServiceAccount。

总结

RBAC 是 Kubernetes 中管理访问控制的重要机制,通过定义 Role、ClusterRole、RoleBinding 和 ClusterRoleBinding,管理员可以精确控制用户和服务账户对集群资源的访问权限。遵循最小权限原则和最佳实践,可以有效地提高集群的安全性。

相关推荐
CheerWWW2 分钟前
C++学习笔记——线程、计时器、多维数组、排序
c++·笔记·学习
无限进步_4 分钟前
【C++】验证回文字符串:高效算法详解与优化
java·开发语言·c++·git·算法·github·visual studio
亚历克斯神4 分钟前
Spring Cloud 2026 架构演进
java·spring·微服务
克里斯蒂亚诺·罗纳尔达5 分钟前
智能体学习16——学习与适应(Learning-and-Adaptation)-深入解读
深度学习·学习·机器学习
七夜zippoe8 分钟前
Spring Cloud与Dubbo架构哲学对决
java·spring cloud·架构·dubbo·配置中心
海派程序猿8 分钟前
Spring Cloud Config拉取配置过慢导致服务启动延迟的优化技巧
java
阿维的博客日记19 分钟前
为什么不逃逸代表不需要锁,JIT会直接删掉锁
java
William Dawson20 分钟前
CAS的底层实现
java
九英里路31 分钟前
cpp容器——string模拟实现
java·前端·数据结构·c++·算法·容器·字符串
YDS82936 分钟前
大营销平台 —— 抽奖前置规则过滤
java·spring boot·ddd
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南04OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南07实测!Gemma 4 成功跑在安卓手机上:离线 AI 助手终于来了08Oh My Codex 快速使用指南09AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析10AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南