基本的な考え方
K8Sは、これらのAPIオブジェクトの操作にetcdに保存されているオブジェクトがAPIServer一つの重要な理由を介してアクセスする必要がありますすべてのAPIは、それがAPIserverので作業を許可する必要がありますされて
いる役割:役割は、それが実際のセットを定義する一連の規則です操作する権限KubernetesのAPIオブジェクト
MYNAMESPACE:それはNamepaceがある効果を持つことができますRoleオブジェクトの指定
名前空間は、論理管理ユニットにKubernetesプロジェクトである。別の名前空間のAPIオブジェクト、kubectlコマンドによって動作されるとき、互いに分離されています
件名:俳優、両方とも「人間」は、また、「機械」することができ、それはまた、あなたの定義されたKubernetesで「ユーザー」を作ることができます
RoleBinding:関係を結合する「役割」と「役割」を定義
組み合わせ役割と結合
長い範囲がちょうど名前空間の定義RoleBindingにRoleBindingな限り
長いClusterRoleBindingスコープなどとして、クラスタ全体(すべての名前空間)であります
役割を定義し、次の役割は、ちょうど別の名前がで現在の名前空間の役割が存在する中、このスペースと役割に表示されていない
役割と、クラスタ全体のリソースの役割の役割を効果的にすべての名前空間内の名前空間で動作することができるClusterRoleBinding表明しましたClusterRoleにアップグレード役割
ClusterRoleは、同時にクラスタ全体(各名前空間)を表すすべての名前空間は、役割と同じ名前を持つ次の役割を定義された
役割のためのスペースRoleBindingの名前でClusterRoleとRoleBindingのみ有効ClusterRoleダウングレード
許可ユーザーとServiceAccount
「ユーザー」でKubernetes、それは、このような外部認証サービスを通じて提供されるキーストーン、として必要、「ユーザー」は論理的な概念のちょうど認証システムである。また、あなたはまたAPIServerは、直接パスワードファイルをユーザー名を指定して与えることができます認証システムKubernetesので、あまり使用K8Sでこの文書UERから対応する「ユーザー」を見つけることができるようになります
Kubernetesまた、「利用者」とのセットである「ユーザー・グループ」(グループ)の概念を持っています
ユーザーの代わりにK8Sの「ビルトインユーザー」、それが一般的に使用されているServiceAccount ServiceAccountの管理を担当Kubernetes
serviceAccountサンプルプロセス:
1.リソースServiceAccountが作成
役割リソースが作成2.
ServiceAccount及び役割(自動的に生成された対応する秘密)を結合rolebindingリソースを作成3.する
秘密トークン情報を表示secretobject DESCRIBE kubectl
K8Sは自動的にオブジェクトを作成するときに秘密の役割ServiceAccountと同梱されます
秘密は、APIServerと対話するには、このServiceAccount対応する承認文書で、我々は一般的にそれを呼び出す:ファイルの内容は、一般的に秘密のオブジェクトを介して、それらの中に、この時間Etcdを保存Token.Token証明書またはパスワード、ありますポッドのユーザーが、あなたはこの文を使用することができますServiceAccount
ポッドはserviceAccountNameを宣言されていない場合、Kubernetesは自動的にデフォルトの名前空間という名前ServiceAccountデフォルトで作成され、その後、ポッドに割り当てられている。しかし、この場合には、デフォルトのServiceAccountは、任意の役割に関連付けられていない。つまり、この時点で、それは当然のAPIServerの大半にアクセスすることが、このアクセスは、それが秘密を提供し、トークン、またはデフォルトServiceAccount対応するオブジェクトを必要と
役割+ RoleBinding +配給権は、準備し、様々なプラグインをインストールし、多くの場合、この組み合わせを使用する時間ですServiceAccountようK8Sでは最も一般的なのは、ServiceAccountです。