June 2021
Intermediate to advanced
300 pages
5h 4m
Chinese
Content preview from Kubernetes即学即用(第二版)
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
Start your free trial
193
第
14
章
基于角色的访问控制
到目前为止,几乎你遇到的每个
Kubernetes
集群都启用了基于角色的访问控
制(
Role-Based Access Control
,
RBAC
)。因此,可能你以前也多少接触过
RBAC
。也许,刚开始的时候你无法使用集群,直到后来你使用了一些神奇
的咒语,添加了一个
RoleBinding
将用户映射到角色。然而,即使你接触过
RBAC
,可能也不太了解
Kubernetes
中的
RBAC
、它的用途以及如何成功地
使用它。而本章的主题就是
RBAC
。
Kubernetes
于版本
1.5
引入了
RBAC
,并在
Kubernetes 1.8
中正式启用。基于
角色的访问控制提供了一种机制,可以限制对
Kubernetes API
的访问和动作,
确保只有适当的用户才能访问集群中的
API
。
RBAC
是一个关键组件,既可
以加强部署了应用程序的
Kubernetes
集群的访问,又可以(也是更为重要)
防止意外事故,比如防止在摧毁测试集群时,由于位于错误的命名空间而意
外地干掉生产集群。
在
Kubernetes
中,多租户的安全性是一个既复杂又涉及很多方面的主题,值
得单独讨论。尽管
RBAC
在限制对
Kubernetes API
的访问方面非常有效,
但重要的是要记住,任何可以在
Kubernetes
集群内运行任意代码的人都可以
获得整个集群的
root
特权。你可能通过一些手段提高这类攻击的难度和开销,
而正确的
RBAC
设置是这类防御措施的一部分。但是,如果不得不考虑恶意