Who gets a free walkie-talkie?

1、基本概念

　　RBAC(Role-Based Access Control，基于角色的访问控制)在k8s v1.5中引入，在v1.6版本时升级为Beta版本，并成为kubeadm安装方式下的默认选项，相对于其他访问控制方式，新的RBAC具有如下优势：

　　- 对集群中的资源和非资源权限均有完整的覆盖

　　整个RBAC完全由几个API对象完成，同其他API对象一样，可以用kubectl或API进行操作

　　可以在运行时进行调整，无需重启API Server

　　要使用RBAC授权模式，需要在API Server的启动参数中加上--authorization-mode=RBAC

2、RBAC原理和用法

2.1 RBAC的API资源对象说明

　　RBAC引入了4个新的顶级资源对象：Role、ClusterRole、RoleBinding、ClusterRoleBinding。同其他API资源对象一样，用户可以使用kubectl或者API调用等方式操作这些资源对象。

　　- 角色(Role)

　　一个角色就是一组权限的集合，这里的权限都是许可形式的，不存在拒绝的规则。在一个命名空间中，可以用角色来定义一个角色，如果是集群级别的，就需要使用ClusterRole了。

　　角色只能对命名空间内的资源进行授权，下面的例子中定义的角色具备读取Pod的权限：

Comments

No data Yet

Name *

Email *

Message *

Please note, comments must be approved before they are published

Blog