当前位置: 首页 > article >正文

K8S学习之基础三十:k8s中RBAC 的核心概念

Kubernetes (k8s) 中的 RBAC(Role-Based Access Control,基于角色的访问控制)是一种用于管理用户和服务账户对集群资源访问权限的机制。RBAC 允许管理员通过定义角色(Role)和角色绑定(RoleBinding)来精确控制谁可以在哪些资源上执行哪些操作。

RBAC 的核心概念

  1. Role:

    • 定义了一组权限,指定了可以对哪些资源执行哪些操作。

    • Role 是命名空间(Namespace)级别的,即它只适用于特定的命名空间。

      apiVersion: rbac.authorization.k8s.io/v1
      kind: Role
      metadata:
        namespace: default
        name: pod-reader
      rules:
      - apiGroups: [""] # "" 表示核心 API 组
        resources: ["pods"]
        verbs: ["get", "watch", "list"]
      

      这个 Role 允许用户在 default 命名空间中获取、查看和列出 Pod。

  2. ClusterRole:

    • 类似于 Role,但它是集群级别的,适用于整个集群,而不仅仅是某个命名空间。

      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRole
      metadata:
        name: cluster-admin
      rules:
      - apiGroups: [""]
        resources: ["*"]
        verbs: ["*"]
      

      这个 ClusterRole 允许用户对所有资源执行所有操作。

  3. RoleBinding:

    • 将 Role 或 ClusterRole 绑定到用户、组或服务账户(ServiceAccount)。

    • RoleBinding 是命名空间级别的,即它只适用于特定的命名空间。

      apiVersion: rbac.authorization.k8s.io/v1
      kind: RoleBinding
      metadata:
        name: read-pods
        namespace: default
      subjects:
      - kind: User
        name: alice
        apiGroup: rbac.authorization.k8s.io
      roleRef:
        kind: Role
        name: pod-reader
        apiGroup: rbac.authorization.k8s.io
      

      这个 RoleBinding 将 pod-reader Role 绑定到用户 alice,允许她在 default 命名空间中读取 Pod。

  4. ClusterRoleBinding:

    • 类似于 RoleBinding,但它是集群级别的,适用于整个集群。

      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRoleBinding
      metadata:
        name: cluster-admin-binding
      subjects:
      - kind: User
        name: admin
        apiGroup: rbac.authorization.k8s.io
      roleRef:
        kind: ClusterRole
        name: cluster-admin
        apiGroup: rbac.authorization.k8s.io
      

      这个 ClusterRoleBinding 将 cluster-admin ClusterRole 绑定到用户 admin,允许她对整个集群中的所有资源执行所有操作。

RBAC 的常见操作

  • 创建 Role 和 RoleBinding:

    • 使用 kubectl create rolekubectl create rolebinding 命令可以快速创建 Role 和 RoleBinding。

      kubectl create role pod-reader --verb=get,list,watch --resource=pods
      kubectl create rolebinding read-pods --role=pod-reader --user=alice
      
  • 查看 Role 和 RoleBinding:

    • 使用 kubectl get rolekubectl get rolebinding 命令可以查看现有的 Role 和 RoleBinding。

      kubectl get role -n default
      kubectl get rolebinding -n default
      
  • 删除 Role 和 RoleBinding:

    • 使用 kubectl delete rolekubectl delete rolebinding 命令可以删除 Role 和 RoleBinding。

      kubectl delete role pod-reader -n default
      kubectl delete rolebinding read-pods -n default
      

RBAC 的最佳实践

  1. 最小权限原则:
    • 只授予用户或服务账户完成其任务所需的最小权限。
    • 避免使用过于宽泛的权限,如 cluster-admin,除非确实需要。
  2. 使用命名空间隔离:
    • 将不同的应用或团队分配到不同的命名空间,并使用 Role 和 RoleBinding 来控制权限。
  3. 定期审计权限:
    • 定期检查 Role 和 RoleBinding,确保没有不必要的权限被授予。
  4. 使用 ServiceAccount:
    • 为每个应用或服务创建专用的 ServiceAccount,并为其分配适当的权限,而不是使用默认的 ServiceAccount。

总结

RBAC 是 Kubernetes 中管理访问控制的重要机制,通过定义 Role、ClusterRole、RoleBinding 和 ClusterRoleBinding,管理员可以精确控制用户和服务账户对集群资源的访问权限。遵循最小权限原则和最佳实践,可以有效地提高集群的安全性。


http://www.kler.cn/a/586530.html

相关文章:

  • 华为OD机考真题 Linux 发行版的数量(Java)
  • Android UI 组件系列(一):TextView 使用详解与常见属性
  • Fast dds 内存调优
  • 【前端实战】一文掌握响应式布局 - 多设备完美适配方案详解
  • 【DeepSeek】蓝耘智算 | 中国AI新范式:蓝耘智算云+DeepSeek R1部署实战教程
  • Spring @Bean注解使用场景二
  • 【PHP】获取PHP-FPM的状态信息
  • Python JSON模块详解:从入门到高级应用
  • C#—线程池详解
  • 健康养生:拥抱活力,畅享生活
  • Excel单元格中插入自定义超链接
  • 第5课 树莓派的Python IDE—Thonny
  • Python系列教程241——不要使用from *
  • Navicat for Snowflake 震撼首发,激活数据仓库管理全新动能
  • MS-DOS 6.22 下建立 FTP 服务器
  • 机器学习-----决策树
  • 市场波动中的风险管理与策略优化
  • 具备多种功能的PDF文件处理工具
  • react useEffect函数清除副作用函数执行时机
  • 第三篇《RMAN 备份与恢复指南:保障数据库安全》(RMAN)