Kubernetes中的RBAC

目录

• 1. Role
• 2. ClusterRole
• 3. RoleBinding
• 4. ClusterRoleBinding
• 5.启用 RBAC

  Kubernetes中的RBAC（Role-Based Access Control，基于角色的访问控制）是一种机制，用于控制集群内资源的访问权限。RBAC允许管理员通过定义角色（Roles和ClusterRoles）并将其绑定到用户或服务账户（通过RoleBindings和ClusterRoleBindings）来精细地管理访问控制。下面是几个关键概念及其示例：

  
  （图片来源网络，侵删）

  1. Role

  Role 是在特定命名空间中定义的一组权限。它规定了用户或服务账户在这个命名空间里能做什么操作。

  示例 YAML 配置（创建一个只读角色）:

  apiVersion: rbac.authorization.k8s.io/v1
  kind: Role
  metadata:
    namespace: default
    name: read-only
  rules:
  - apiGroups: [""] # "" indicates the core API group
    resources: ["pods", "services"]
    verbs: ["get", "list", "watch"]
  

  2. ClusterRole

  ClusterRole 类似于 Role，但它定义的是集群级别的权限，不局限于某个命名空间。

  示例 YAML 配置（创建一个集群级别的管理角色）:

  apiVersion: rbac.authorization.k8s.io/v1
  kind: ClusterRole
  metadata:
    name: cluster-admin-custom
  rules:
  - apiGroups: ["*"]
    resources: ["*"]
    verbs: ["*"]
  

  3. RoleBinding

  RoleBinding 将角色（Role或ClusterRole）绑定到用户或服务账户，且作用于特定命名空间。

  示例 YAML 配置（将上述只读角色绑定到一个用户）:

  apiVersion: rbac.authorization.k8s.io/v1
  kind: RoleBinding
  metadata:
    name: read-only-binding
    namespace: default
  subjects:
  - kind: User
    name: alice # 替换为实际用户名
    apiGroup: rbac.authorization.k8s.io
  roleRef:
    kind: Role
    name: read-only
    apiGroup: rbac.authorization.k8s.io
  

  4. ClusterRoleBinding

  ClusterRoleBinding 同样用于绑定角色，但它是集群级别的，可以应用于所有命名空间。

  示例 YAML 配置（将集群级别的角色绑定到服务账户）:

  apiVersion: rbac.authorization.k8s.io/v1
  kind: ClusterRoleBinding
  metadata:
    name: cluster-admin-binding
  subjects:
  - kind: ServiceAccount
    name: my-service-account
    namespace: my-namespace
    apiGroup: rbac.authorization.k8s.io
  roleRef:
    kind: ClusterRole
    name: cluster-admin-custom
    apiGroup: rbac.authorization.k8s.io
  

  5.启用 RBAC

  在启动 Kubernetes API 服务器时，需要通过 --authorization-mode=RBAC 参数来启用 RBAC。