奈學百萬雲原生架構師

愛分享 愛生活 加油 2021 

百度網盤

提取碼：qhhv 

簡介

本文將介紹Kubernetes基於角色的訪問控制（RBAC）API對象，以及兩個常見的用例（建立具備受限訪問權限的用戶、POD內經過service account訪問api）。在本文的最後，您應該具備足夠的知識來在集羣中使用RBAC策略。

從Kubernetes 1.6版本起，系統默認啓用RBAC策略。 RBAC策略對於正確管理羣集相當重要，由於它們使您能夠根據用戶及其在組織中的角色來指定容許的操做類型。包括：

• 經過僅向管理員用戶授予特權操做（例如訪問機密）來保護集羣。
  在集羣中強制用戶認證。
• 將資源建立（例如pod，持久卷，部署）限制爲特定的名稱空間。您還可使用配額來確保資源使用受到限制並受到控制。
• 讓用戶僅在其受權的名稱空間中查看資源。這使您能夠隔離組織內的資源（例如，部門之間）。
• 因爲默認啓用了RBAC，所以在配置網絡（例如flanneld）或使Helm時，您可能會看到相似這樣的錯誤：

the server does not allow access to the requested resource

本文將向您展現如何使用RBAC，以便您能夠正確處理此類問題。

準備工做

爲了充分的瞭解本文，建議您有一套完整的Kubernetes環境，並能按咱們的步驟完成整個過程，環境要求以下：

• Kubernetes 1.6以上版本，1.6前的版本，須要手動啓用RBAC，若是您是在本機用minikube安裝kubernetes，命令行以下：

minikube start --extra-config=apiserver.Authorization.Mode=RBAC

• 安裝kubectl命令行工具。
• 安裝了OpenSSL。

RBAC API 對象

Kubernetes的一項基本功能是其全部資源都是模型化的API對象，該對象容許進行CRUD（建立，讀取，更新，刪除）操做。 資源包括：

• Pods.
• PersistentVolumes.
• ConfigMaps.
• Deployments.
• Nodes.
• Secrets.
• Namespaces.

這些資源上可能的操做示例以下：

• create
• get
• delete
• list
• update
• edit
• watch
• exec