kubernetes 本身支持 RBAC 權限校驗,現在的主流版本已經默認支持,並默認開啟了。妳也可以通過查看 apiserver 配置來看自己的k8s是否支持
我們要實現對 kubectl 權限管理,就得依賴 k8s 的 RBAC,我們知道,kubectl 默認情況下,是讀取 ~/.kube/config 文件作為配置,和 k8s 的 apiserver 通信的,所以,問題的關鍵之壹就是,我們如何生成這個配置文件。
k8s的RBAC定義了4個資源對象:Role、ClusterRole;Rolebinding、ClusterRoleBinding,其中:
那麽,Subject 是什麽?Subject 其實可以理解為“用戶”,它有幾類,分別是:User、Group、ServiceAccount,我們直接通過源碼看 Subject 的定義(著重看註釋!!!)
那麽,Subject 在哪裏?我們要綁定 Role 或者 ClusterRole,就得配置 RoleBinding 或者 ClusterRoleBinding,所以,Subject 就在 RoleBinding 或者 ClusterRoleBinding 裏。下面進行實操步驟。
1、創建壹個ClusterRole
2、創建 ServiceAccount
3、創建 ClusterRoleBinding,將 ClusterRole 的權限,綁定到 ServiceAccount
創建文件 clusterrolebinding-view.yml
執行命令,創建資源
4、生成配置:guest.config
5、更新 guest.config 配置
6、將 guest.config,重命名之後,放到 ~/.kube 目錄下即可。