集群安全机制

k8s在启用基于角色管理的访问控制 RBAC（Role-based-Access-Control）的授权模式。相当于基于属性的访问控制ABAC（Attribute-based Access Control）,RBAC主要是引入了 角色（Role 权限的集合） 和角色绑定（RoleBinding）的抽象概念。在ABAC中，k8s集群中的访问策略只能跟用户直接关联；而RBAC中，访问策略可以跟某个角色关联，具体的用户再和某个角色或者多个角色关联。 RBAC有四个新的k8s顶级资源对象： 角色（Role）、集群角色（ClusterRole）、角色绑定（RoleBinding）、集群角色绑定（ClusterRoleBinding）。同其他API资源对象一样，用户可以使用kubectl或者API调用方式等操作这些资源对象。 RBAC具有如下优势。 1、对集群中的资源和非资源权限均有完整的覆盖。 2、整个RBAC完全由几个API对象完成，同其他API对象一样 ，可以用kubectl或API进行操作。 3、可以在运行时进行调整，无须重新启动 API Server。 4、要使用 RBAC 授权模式 ，则 需要在 API Server 的启动 参数中 加上--authorization-mode=RBAC。 1）角色( Role) 一个角色就是一组权限的集合，这里的权限都是许可形式的，不存在拒绝的规则。在一个命名空间中，可以用角色来定义一个角色，如果是集群级别的，就需要使用ClusterRole了。角色只能对命名空间内的资源进行授权，下面例子中定义的角色具备读取Pod的权限: kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: namespace: default //这里指的是default命名空间下的角色 name: pod-reader rules: - apiGroups: [""] # ""空字符串，表示核心API群 resources: ["pods"] //要操作的资源 verbs: ["get",