红帽全球峰会
概述
Kubernetes 基于角色的访问权限控制(RBAC)是一种身份和访问管理(IAM),是指用一组权限或模板来决定谁(主体)可以在哪儿(命名空间)执行什么操作。RBAC 从传统的基于属性的访问控制(ABAC)演变而来,ABAC 基于用户名称而不是用户责任授予访问权限。
2021 年度 Kubernetes 安全状况报告
了解相关公司是如何执行 Kubernetes 安全防护计划的,包括 Kubernetes RBAC。
什么是角色?
角色会授予对容器集和节点的各种等级的访问权限。通过角色授权,可以访问作为一个应用工作负载协作的一组特定集群(简单称为角色),或访问整个集群(称为集群角色)。
- 角色将权限授予以虚拟方式链接在一起的集群组,称为命名空间。角色是一种命名空间资源,因为用户对工作负载的访问是由特定命名空间中包含的集群决定的。通过角色绑定,可以将用户、用户组或服务帐户名称合并到单个角色中。
- 集群角色会对整个集群授予权限,集群是由多组单个硬件节点组成的组。集群角色可以跨越多个命名空间。集群角色绑定则会将集群角色绑定到集群中的每个命名空间。例如,集群管理员集群角色名称可以自由访问所有集群。
可以使用元数据组合和堆叠角色绑定和集群角色权限。这会将在集群角色中定义的权限授予角色绑定命名空间中的资源,帮助定义整个集群中可在多个命名空间重复使用的常用角色。
Kubernetes RBAC 如何发挥作用?
Kubernetes 应用编程接口(API)是 Kubernetes 控制平面的前端。Kubernetes API 通过与计算机或系统进行交互,来检索信息或执行功能。
Kubernetes RBAC 将相关的功能请求收集到 API 组中,这些组在将某些角色连接到 API 端点时与 API 服务器通信。
有关使用 Kubernetes RBAC(包括 Kubernetes 文档、rbac.authorization.k8s.io 认证、kubectl 命令行工具、附加组件、kubelet TLS bootstrapping,以及设置网络策略)的更多信息,请访问开源项目的 RBAC 文档。
为什么选择红帽?
红帽是与 Kubernetes 的创建者 Google 在该项目上合作的首批公司之一,早在该项目正式发布前就已开始合作。从那时起,红帽就已经是 Kubernetes 上游项目的第二大贡献者,并成为第一个使用 Kubernetes 企业平台进行市场推广的公司之一。
红帽® OpenShift® 是面向企业的 Kubernetes,囊括了多种先进技术,能让 Kubernetes 更强大、更可用。其中的组件包括网络、身份验证、监控、安全和自动化等。
不像其他供应商平台需要使用专有组件和复杂的流程,红帽 OpenShift 是可供运维和开发团队使用的单个集成式平台,可以验证常用的适用于 Kubernetes 的存储和联网插件,包括内置的监测、记录和分析解决方案。
在 OpenShift 的基础上构建,您可以结合使用红帽高级集群管理和红帽 Ansible® 自动化平台,跨环境高效部署和管理多个 Kubernetes 集群。
