RBAC示例
让我们来看一个更完整的示例,该示例演示了如何使用RBAC来限制对Kubernetes API的访问。假设我们有两个命名空间:dev和prod。我们希望分别为这两个命名空间创建一个角色,允许管理员对其进行操作,但不允许其他用户进行任何操作。
首先,我们将创建一个名为“namespace-admin”的ClusterRole,用于允许管理员对所有命名空间进行操作。下面是ClusterRole的YAML文件:
代码语言:javascript复制kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: namespace-admin
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]在上面的示例中,我们创建了一个名为“namespace-admin”的ClusterRole,它允许对所有命名空间进行任何操作。请注意,我们在apiGroups和resources字段中使用了通配符“*”,以表示我们将允许任何API组和资源类型。
接下来,我们将为“dev”命名空间创建一个Role对象,该对象允许管理员对该命名空间中的所有资源进行任何操作。下面是Role的YAML文件:
代码语言:javascript复制kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: dev
name: admin
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]在上面的示例中,我们创建了一个名为“admin”的Role对象,该对象允许管理员对“dev”命名空间中的所有资源进行任何操作。请注意,我们在apiGroups和resources字段中使用了通配符“*”,以表示我们将允许任何API组和资源类型。该对象还指定了命名空间为“dev”。
最后,我们将创建一个RoleBinding对象,将ClusterRole“namespace-admin”绑定到名为“admin”的Role,以授予管理员对“dev”命名空间的访问权限。下面是RoleBinding的YAML文件:
代码语言:javascript复制kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: admin-binding
namespace: dev
subjects:
- kind: User
name: admin
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: namespace-admin
apiGroup: rbac.authorization.k8s.io在上面的示例中,我们创建了一个名为“admin-binding”的RoleBinding对象,该对象将ClusterRole“namespace-admin”绑定到名为“admin”的Role,并将其应用于“dev”命名空间。请注意,我们在subjects字段中指定了一个名为“admin”的用户,该用户将具有对“dev”命名空间的完全访问权限。
