Kubernetes RBAC实战:ServiceAccount与Role/ClusterRole的精细化权限管理

1. Kubernetes RBAC基础概念

刚接触Kubernetes权限管理时,我经常被各种角色和绑定关系绕晕。直到踩过几次坑才明白,RBAC(基于角色的访问控制)其实就像公司里的岗位职级体系:Role是岗位说明书ServiceAccount是员工工牌,而RoleBinding就是人事部的任命文件

先看几个核心概念:

  • ServiceAccount:相当于Pod的身份证。每个Pod运行时都会自动挂载一个ServiceAccount,默认是default。我建议永远不要使用default账号,就像你不会把管理员密码贴在公告栏上。
  • Role:部门级权限手册。比如开发团队只能访问test命名空间下的Pod,这就是典型的Role场景。它的权限范围仅限单个命名空间。
  • ClusterRole:集团级权限手册。比如运维团队需要查看所有节点的状态,这种跨命名空间的权限就需要ClusterRole。

这里有个容易混淆的点:RoleBinding既能绑定Role也能绑定ClusterRole。但绑定ClusterRole时,权限会被限制在RoleBinding所在的命名空间内。这就像把集团制度下发给某个分公司执行。

2. 创建ServiceAccount实战

去年我们有个事故:某测试Pod误删了生产环境的ConfigMap。根本原因就是用了default ServiceAccount。现在我的团队强制要求:每个微服务必须使用专属ServiceAccount

# 创建专属账号就像办工牌
apiVersion: v1
kind: ServiceAccount
metadata:
  name: order-service
  namespace: production
代码转载自:https://pan.quark.cn/s/8ce4326d996e 对于在 CentOS 7 系统中修改网卡配置文件后无法使设置生效的情况,经过实践验证,可以通过使用 nmcli 命令来进行调整。完成修改之后,需要重新启动虚拟机以使更改生效,这样操作流程即告完成。如果设置仍然无法生效,则表明虚拟机在启动过程中所获取的 IP 地址配置并非针对 eth0,此时可以对其它网卡的配置文件进行修改或将其移除。在 CentOS 7 系统中,网络配置的管理机制早期版本存在差异,主要体现为采用了 Network Manager 服务来负责网络接口的管理。在某些情形下,尽管修改了 `/etc/sysconfig/network-scripts` 目录下的 `ifcfg-eth0` 文件,但网络配置却未能即时生效。此类问题的发生通常源于 CentOS 7 采用了不同于以往的配置读取方法。接下来将具体阐述如何借助 nmcli 命令来处理这一挑战。 以 root 用户身份登录系统并打开终端界面。nmcli 是 Network Manager 提供的命令行界面工具,它支持在命令行环境下执行网络连接的建立、编辑、查询及管理任务。针对修改 eth0 网卡配置的需求,可以遵循以下步骤进行操作: 1. 导航至 `/etc/sysconfig/network-scripts` 目录: ``` cd /etc/sysconfig/network-scripts ``` 2. 检查该目录内是否存在 `ifcfg-eth0.bak` 文件,该备份文件可能是先前调整配置时遗留下来的,若存在可能造成冲突。若发现该文件,可以选择将其删除: ``` [root@localhost netw...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值