LabEx
登录免费加入

如何分配 Kubernetes 角色和权限

KubernetesKubernetesBeginner
立即练习

💡 本教程由 AI 辅助翻译自英文原版。如需查看原文,您可以 切换至英文原版

简介

本教程将帮助你理解 Kubernetes RBAC(基于角色的访问控制)功能,它允许你管理和控制对 Kubernetes 集群资源的访问。你将学习如何定义 Kubernetes 角色(Role)和集群角色(ClusterRole),以及如何使用角色绑定(Role Binding)和集群角色绑定(ClusterRole Binding)来应用它们。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL kubernetes(("Kubernetes")) -.-> kubernetes/BasicCommandsGroup(["Basic Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/AdvancedCommandsGroup(["Advanced Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/TroubleshootingandDebuggingCommandsGroup(["Troubleshooting and Debugging Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/ConfigurationandVersioningGroup(["Configuration and Versioning"]) kubernetes/BasicCommandsGroup -.-> kubernetes/get("Get") kubernetes/BasicCommandsGroup -.-> kubernetes/create("Create") kubernetes/AdvancedCommandsGroup -.-> kubernetes/apply("Apply") kubernetes/TroubleshootingandDebuggingCommandsGroup -.-> kubernetes/describe("Describe") kubernetes/ConfigurationandVersioningGroup -.-> kubernetes/config("Config") subgraph Lab Skills kubernetes/get -.-> lab-415230{{"如何分配 Kubernetes 角色和权限"}} kubernetes/create -.-> lab-415230{{"如何分配 Kubernetes 角色和权限"}} kubernetes/apply -.-> lab-415230{{"如何分配 Kubernetes 角色和权限"}} kubernetes/describe -.-> lab-415230{{"如何分配 Kubernetes 角色和权限"}} kubernetes/config -.-> lab-415230{{"如何分配 Kubernetes 角色和权限"}} end

理解 Kubernetes RBAC

Kubernetes RBAC(基于角色的访问控制)是一项强大的功能,它允许你管理和控制对 Kubernetes 集群资源的访问。RBAC 提供了一种定义和实施授权策略的方法,确保只有经过授权的用户或进程才能在集群中执行特定操作。

在 Kubernetes 中,RBAC 通过使用角色(Role)和集群角色(ClusterRole)来实现,它们定义了集群中不同实体的权限和访问级别。角色作用于特定的命名空间,而集群角色则是集群范围的。

为了理解 Kubernetes 中的 RBAC,让我们探讨以下关键概念:

Kubernetes 角色和集群角色

角色和集群角色是 Kubernetes 中 RBAC 的构建块。它们定义了可以授予用户、组或服务账户的权限集。

角色指定特定命名空间的权限,而集群角色定义跨整个集群的权限。

以下是一个授予对 “default” 命名空间中的 Pod 读取访问权限的角色示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
  - apiGroups: [""] ## "" 表示核心 API 组
    resources: ["pods"]
    verbs: ["get", "list", "watch"]

以及一个授予集群范围管理员访问权限的集群角色示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin
rules:
  - apiGroups: ["*"]
    resources: ["*"]
    verbs: ["*"]

应用 RBAC:角色绑定和集群角色绑定

定义角色和集群角色后,你需要使用角色绑定和集群角色绑定将它们绑定到用户、组或服务账户。

角色绑定将角色中定义的权限授予特定命名空间内的用户、组或服务账户。集群角色绑定将集群角色中定义的权限授予整个集群中的用户、组或服务账户。

以下是一个在 “default” 命名空间中将 “pod-reader” 角色授予 “alice” 用户的角色绑定示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: default
  name: read-pods
subjects:
  - kind: User
    name: alice
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

以及一个在整个集群中将 “cluster-admin” 集群角色授予 “admin” 用户的集群角色绑定示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
subjects:
  - kind: User
    name: admin
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

通过理解这些 RBAC 概念并将它们应用到你的 Kubernetes 集群中,你可以有效地管理和控制对资源的访问,确保只有经过授权的实体才能执行特定操作。

定义 Kubernetes 角色和集群角色

Kubernetes 角色(Role)和集群角色(ClusterRole)是基于角色的访问控制(RBAC)系统的基本构建块。它们定义了可以在 Kubernetes 资源上执行的特定权限和操作。

Kubernetes 角色

角色是一种命名空间资源,这意味着它在特定的命名空间内定义权限。这使你能够精细地控制对特定命名空间内资源的访问。

以下是一个授予对 “default” 命名空间中的 Pod 读取访问权限的角色示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
  - apiGroups: [""] ## "" 表示核心 API 组
    resources: ["pods"]
    verbs: ["get", "list", "watch"]

在此示例中,“pod-reader” 角色允许相关的主体(用户、组或服务账户)对 “default” 命名空间中的 Pod 执行 “get”、“list” 和 “watch” 操作。

Kubernetes 集群角色

另一方面,集群角色是一种集群范围的资源,这意味着它定义了跨整个 Kubernetes 集群的权限。当你需要授予对集群级资源的访问权限或执行集群范围的操作时,集群角色很有用。

以下是一个授予集群范围管理员访问权限的集群角色示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-admin
rules:
  - apiGroups: ["*"]
    resources: ["*"]
    verbs: ["*"]

在此示例中,“cluster-admin” 集群角色允许相关的主体对整个 Kubernetes 集群中的任何资源执行任何操作(“_”)。

在定义角色和集群角色时,你可以指定以下关键元素:

  • apiGroups:权限适用的 API 组(例如,“” 表示核心 API 组,“apps” 表示应用 API 组)。
  • resources:权限适用的 Kubernetes 资源(例如,“pods”、“deployments”、“services”)。
  • verbs:权限允许的操作(例如,“get”、“list”、“watch”、“create”、“update”、“delete”)。

通过仔细定义角色和集群角色,你可以精确控制 Kubernetes 集群内的访问和权限,确保用户、组和服务账户只能对所需资源执行必要的操作。

应用 Kubernetes 角色绑定和集群角色绑定

在你的 Kubernetes 集群中定义了角色(Role)和集群角色(ClusterRole)之后,下一步是通过创建角色绑定(Role Binding)和集群角色绑定(ClusterRole Binding)来应用它们。这些绑定将定义的权限与特定的用户、组或服务账户相关联。

角色绑定

角色绑定将角色中定义的权限授予特定命名空间内的用户、组或服务账户。这使你能够控制对特定命名空间内资源的访问。

以下是一个在 “default” 命名空间中将 “pod-reader” 角色授予 “alice” 用户的角色绑定示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: default
  name: read-pods
subjects:
  - kind: User
    name: alice
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

在此示例中,“read-pods” 角色绑定将 “pod-reader” 角色与 “default” 命名空间中的 “alice” 用户相关联。这意味着 “alice” 用户将拥有 “pod-reader” 角色中定义的权限,这允许他们对 “default” 命名空间中的 Pod 执行 “get”、“list” 和 “watch” 操作。

集群角色绑定

集群角色绑定将集群角色中定义的权限授予整个 Kubernetes 集群中的用户、组或服务账户。当你需要授予集群范围的访问权限或权限时,这很有用。

以下是一个在整个集群中将 “cluster-admin” 集群角色授予 “admin” 用户的集群角色绑定示例:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
subjects:
  - kind: User
    name: admin
    apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: cluster-admin
  apiGroup: rbac.authorization.k8s.io

在此示例中,“admin-user” 集群角色绑定将 “cluster-admin” 集群角色与 “admin” 用户相关联。这意味着 “admin” 用户将在整个 Kubernetes 集群中拥有完全的管理访问权限。

通过应用角色绑定和集群角色绑定,你可以有效地控制和管理 Kubernetes 集群内用户、组和服务账户的访问和权限,确保他们只能对所需资源执行必要的操作。

总结

Kubernetes RBAC 是一项强大的功能,它使你能够在 Kubernetes 集群中定义和实施授权策略。通过理解角色(Role)、集群角色(ClusterRole)、角色绑定(Role Binding)和集群角色绑定(ClusterRole Binding),你可以确保只有经过授权的用户或进程才能在集群中执行特定操作,从而保证 Kubernetes 环境的安全性和完整性。

相关 Kubernetes 课程
Kubernetes 快速入门

Kubernetes 快速入门

Kubernetes
初级
Kubernetes 入门指南

Kubernetes 入门指南

Kubernetes
初级