kubernets集群的安全防护(下)

一   集群角色以及集群角色绑定

  

  1.1  前面我们提到过角色以及角色绑定,那么现在为什么会出现集群级别的角色以及角色绑定,作用有如下所示

    • 我们如果需要在所有的命名的空间创建某个角色或者角色绑定的时候,按照目前已经学习的方法只能将现有的命名空间里一个一个的去创建,并且这种办法只能创建已经存在的命名空间,对于那些即将创建的命名空间也还需要等待创建完成之后在去创建角色以及角色绑定
    • API服务器存储的有2类URL,第一类是资源类型的URL,另一种是非资源性的URL
    • 利用角色,以及角色绑定需要明确指出需要访问的集群资源的名称service等是无法访问到非资源形URL
    • 再有一点,如果命名空间想要访问集群级别的资源,也只能通过绑定集群角色来访问

    

  1.2  让某个命名空间的pod访问集群级别的资源

k create clusterrole pv-reader --verb=get,list --resource=persistentvolumes

  

  1.3  它的yaml形式如下所示

[root@node01 Chapter12]# k get clusterrole pv-reader -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: pv-reader
rules:
- apiGroups:
  - ""
  resources:
  - persistentvolumes
  verbs:
  - list
  - get

 

  1.4 此时来通过wdm的pod来访问集群级别的资源persistentvolumes,结果如下所示

/ # curl localhost:8001/api/v1/persistentvolumes
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "persistentvolumes is forbidden: User \"system:serviceaccount:wdm:default\" cannot list resource \"persistentvolumes\" in API group \"\" at the cluster scope",
  "reason": "Forbidden",
  "details": {
    "kind": "persistentvolumes"
  },
  "code": 403

  

  1.5 现在我们将这个集群资源绑定到wdm这个命名空间的SA上面去

 

kubernets集群的安全防护(下)

上一篇:Wi-Fi Penetration on MacOS


下一篇:论文翻译——2018_Learning Front-end Filter-bank Parameters using Convolutional Neural Networks for Abnormal Heart Sound Detection