Kubernetes中的角色访问控制机制(RBAC)支持

  • 时间:
  • 浏览:2
  • 来源:大发彩票快三—大发彩票app

在 Google Cloud Next 上的两次讲话提到了 Kubernetes 1.6 中的 RBAC。要获得更详细的信息,请阅读 RBAC 文档。

RBAC 和 ABAC 同時 运行: https://kubernetes.io/docs/admin/authorization/rbac/#parallel-authorizers

要平滑的从 ABAC 升级到 RBAC,在创建 1.6 集群的以前 ,前要同時 启用 ABAC 和 RBAC。当村里人 同時 启用的以前 ,对一另一三个白 资源的权限请求,在任何一方获得放行还会获得批准。然而在累似 配置下的权限太过粗放,很肯能无法在单纯的 RBAC 环境下工作。

所有在 Kubernetes 集群中运行的应用,一旦和 API Server 进行通信,还会有肯能受到迁移的影响。

在 ABAC 到 RBAC 进行迁移的过程中,许多在 ABAC 集群中缺省开放的权限,在 RBAC 中会被视为并非要的授权,会对其进行降级。累似 状态会影响到使用 Service Account 的负载。ABAC 配置中,从 Pod 中发出的请求会使用 Pod Token,API Server 会为其授予较高权限。累似 下面的命令在 APAC 集群中会返回 JSON 结果,而在 RBAC 的状态下则会返回错误。

关于 RoleBinding 和 ClusterRoleBinding: https://kubernetes.io/docs/admin/authorization/rbac/#rolebinding-and-clusterrolebinding

肯能 Kubernetes 社区的投入和偏好,相对于 ABAC 而言,RBAC 是更好的选用。

目前 Kubernetes 富含一系列的鉴权机制。

RBAC 现在被 Kubernetes 强度集成,并使用他给系统组件进行授权。系统角色 (System Roles) 一般具有前缀system:,很容易识别:

而 RBAC 的授权策略前要利用 kubectl 肯能 Kubernetes API 直接进行配置。RBAC 前要授权给用户,让用户有权进行授权管理,从前 就前要无需接触节点,直接进行授权管理。RBAC 在 Kubernetes 中被映射为 API 资源和操作。

角色是一系列的权限的集合,累似 一另一三个白 角色前要富含读取 Pod 的权限和列出 Pod 的权限, ClusterRole 跟 Role 累似 ,还会前要在集群中到处使用( Role 是 namespace 一级的)。

前要理解 RBAC 许多基础的概念和思路,RBAC 是让用户才能访问 Kubernetes API 资源的授权措施。

ABAC(Attribute Based Access Control)从前 是不错的概念,还会在 Kubernetes 中的实现比较难于管理和理解(怪我咯),还会前要对 Master 所在节点的 SSH 和文件系统权限,还会要使得对授权的变更成功生效,还前要重新启动 API Server。

RoleBinding 把角色映射到用户,从而让哪几个用户继承角色在 namespace 中的权限。ClusterRoleBinding 让用户继承 ClusterRole 在整个集群中的权限。

鉴权的作用是,决定一另一三个白 用户是与非 有权使用 Kubernetes API 做许多事情。它 除了会影响 kubectl 等组件之外,还会对许多运行在集群内部人员并对集群进行操作的软件产生作用,累似 使用了 Kubernetes 插件的 Jenkins,肯能是利用 Kubernetes API 进行软件部署的 Helm。ABAC 和 RBAC 都才能对访问策略进行配置。

降级过程的说明: https://kubernetes.io/docs/admin/authorization/rbac/#upgrading-from-15

在 RBAC 中定义了一另一三个白 对象,用于描述在用户和资源之间的连接权限。

RBAC 系统角色肯能完成足够的覆盖,让集群前要详细在 RBAC 的管理下运行。

本文转自中文社区-Kubernetes中的角色访问控制机制(RBAC)支持

https://kubernetes.io/docs/admin/authorization/