1、RBAC:基于角色的访问控制,将权限授予角色,为用户分配角色,完成授权。RBAC的特点:
(1)对集群中的资源和非资源型URL的权限实现了完整覆盖
(2)整个RBAC完全由少数几个API对象实现,可以通过kubectl或者API调用进行操作
(3)支持权限的运行时调整,无需重新启动APIServer
2、角色
Kubernetes将RBAC授权插件将角色分为Role和ClusterRole
Role:作用于名称空间级别,承载名称空间内的资源权限集合。
ClusterRole:能同时承载名称空间和集群级别的资源权限集合
2.1、Role资源清单
创建一个属于test名称空间的Role
kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: test name: pods-reader rules: - apiGroups: [""] resources: ["pods","services","pods/log"] verbs: ["get","watch","list"]role-pod-reader.yaml
2.2、Rolebinding
为test用户增加test名称空间的访问权限
kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: podreader namespace: test subjects: - kind: ServiceAccount name: test namespace: default roleRef: kind: Role name: pods-reader apiGroup: rbac.authorization.k8s.iorole-binding.yaml
2.3、验证
状态查看:
使用test ServiceAccount token登录dashbord测试:可以看到这个serviceaccount可以访问default和test两个名称空间的信息,且在test名称空间只能查看role定义的权限
3、ClusterRole和ClusterRoleBinding配置与role和RoleBinding配置类似。