超级会员免费看
Kubernetes 授权与管理全解析
1. 授权模块概述
授权模块在 Kubernetes 中负责决定是否授予访问权限。从 1.15 版本开始,Kubernetes 自带了以下几种授权模块:
- 基于属性的访问控制(ABAC) :可以通过本地文件配置授权策略。
- 基于角色的访问控制(RBAC) :能通过 Kubernetes API 配置授权策略。
- Webhook :允许通过远程 REST 端点处理请求的授权。
- Node :专门用于授权来自 kubelet 的请求。
这些模块由集群管理员通过 API 服务器上的 --authorization - mode 标志进行配置,可配置多个模块,且按顺序检查。与准入控制器不同的是,只要有一个授权模块允许请求,请求就可以继续进行,只有当所有模块都拒绝请求时,才会向用户返回错误。
1.1 ABAC 模块
以下是使用 ABAC 授权模块的策略定义示例,该策略授予用户 Mary 对 kube - system 命名空间中 Pod 的只读访问权限:
apiVersion: abac.authorization.kubernetes.io/v1beta1
kind: Policy
spec:
user: mary
resource: pods
readonly: true
n
订阅专栏 解锁全文
扫一扫
1261
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
