00:01
各位大家好,在刚才内容中呢,我们介绍到了K8S集群的安全机制,那下面给各位继续来介绍。刚才咱们提到在我们访问C集的时候要经过三步认证,健全和主动控制,下面咱就把这健全给大家详细说一下。刚才提到在健全里边,它是基于这个叫RBAC的这种方式进行界限操作,就是基于角色反控制进行的,那我下面把这RBAC这东西到底是什么,包括它有哪些组成部分,给各位做一个详细的介绍。那下面给大家来写一下,就是咱的第二部分叫RBAC的这么一个叫基于角色的反控制,那我来具体给各位来说一下哈。小的位置,它叫。基于角色的访问控制,那这是什么意思呢?说的简单点就是现在我这里边在KS进行访问中,它允许我经过这个控制之后访问的某些资源,那这里边它里边比如为某个角色设置它的访问内容,然后我的用户跟角色绑定,那我角色可以做的事情,我用户就可以做到,就是类似于这么一个过程,那这过程到底怎么样?给各位我在里边画个图,咱来说一下啊。
01:25
就是首先在里边肯定有第一部分。第一部分是什么呢?就是咱说那个叫角色啊,比如这一部分代表就是咱们的角色。这是第一个啊角色,而角色里边的,这里边比如我们起个名字角色嘛,我们叫RO,包括这里边除了它之外,可能用那个什么C肉啊,就是你那个集群的等等访问。Class肉啊,里边有这么一个组成部分,这个叫角色,然后有角色之外,下面还有一部分,它叫主体,什么叫主体?比如说我们的用户,我们的用户组,包括咱们的服务账户等等,这个叫主体,那我在这个位置画一下,这是咱说那个。
02:10
主体部分。他叫。主体。然后里边就包含比如说我们的user用户,比如说我们的group。组,包括在那个service account。服务账号这个叫主体,而我现在这做完之后,我们需要怎么做呢?给大家强调,咱需要做第三部分,让你这个角色和你的这个主体进行绑定,就是做一个操作叫角色绑定。我写这个位置啊,角色。绑定。那什么叫角色绑定呢?说的简单点啊,说的具体点,比如说啊,我现在有一个用户,这用户叫张三,然后我的角色中比如有一个角色,这个角色叫销售人员,那我把张三绑定到销售人员角色上,张三是不是就是销售人员,但我的角色中可能有什么测试人员,有什么开发人员,但是张三他只是属于我这个销售人员,他不是测试,也不是开发,这个叫角色和主体的一个绑定,就让你的某个主体属于某一个角色。
03:24
啊,这是里边的这个操作,然后这个做到之后,咱下面要继续往下来做,做什么呢?就来规划一下你的角色,他具体能访问或者能做什么事情。我写一下啊,就是下面咱们做一个具体的一个叫做。规划。也就是说我的角色他能做什么事情,比如说我现在这个角色,就是假如说啊,我这角色里边现在。它这里边可以对我们这个pod,或者说我的节点,或者说我的名称空间,就这些相关的资源。做一些操作啊,这些资源比这些不管你是pod也好,什么也好,都叫资源了,比如说我们有pod,有这个nod等等,然后在对资源操作中,比咱们给它划分成更具体点,假如对资源,比如说可以做这么一个就是get操作。
04:16
获取,包括比如说可以做一个create这个操作,这个叫具体操作,那我现在就让我这个角色,它能够进行这些操作。啊,就是这个操作,然后现在就完成一个叫RBAC,而说的具体点,比如现在我这个主体中有个用户,他叫做张三。啊,比如写句子,比如叫Lucy啊,然后我这个角色,比如他是一个叫这个。Shelter。啊,就是啊,这么一个销售人员赛销售人员,然后现在我让Lucy作为一个销售人员,而我销售人员比如可以对我的资源做获取添加操作,那Lucy对我资源是不是也能做获取和添加操作,所以这个就是咱说的RBAC的这种反控制,基于角色进行控制,当我角色能做什么事情,那我的主体能做什么事情,假如现在我一个这个主体叫me me呢,比如说他不属于这个cell,那这me就不能对这资源做获取和添加操作啊,那他根据他的角色做更具体的内容,所以这个叫RBAC的这么一种基于角色的访问控制。
05:29
给个位做了一个说明,所以你把这个条件给他知道,而这个东西呢,刚才我也提到,它不仅是在我们K8S中,在很多的领域都会用到这种RBAC这种方式,比如说在Java开发中,这种方式应该也是很常见的,他们的思路基本上都是一样的。所以这个各位知道什么叫RBAC的这种方式,基于角色的访问控制啊,这个我们都为说明,然后说完之后在里边有不同的内容,比如这个角色,角色绑定,包括规划,包括主体给各位啊,我在里边咱就快速总结出来,就是它一些句型内容。
06:06
然后写一下啊,比如第一个这个叫。决策。然后角色里边呢,有一个叫做这个肉。肉什么意思呢?我强调啊,你可以理解为,它就是授权你特定的命名空间的访问权限。特定的命名空间。访问权限命名空间,咱之前大概提到过啊,就是对你这个访问的应用或者资源进行隔离,让他们不一样,而我现在比如对特定命空间可以做这个具体操作,比如说咱可以简单看一下,我来一个库,Ctl get命名空间嘛,Name spaces ns里边有很多命空间,比如默认是deat,而我现在在里边,我可以在创建一个命空间,这个比如叫create。NS,然后命空间,比如我教这个啊,咱就随便来一个,我教这个肉。
07:02
太子。然后这里边比如说我们再做个查看是不是多了一个肉test,然后你可以通过它,比如往里边部署你的资源,然后它跟其他的可以做一个隔离啊,就是根据特定兵空间,比如就反问这里边的做一些全操作啊,这个叫肉,然后除了它之外还有一个叫克拉斯特肉。Cast,这什么意思呢?它就是啊,对我们所有的命名空间进行这个访问的一个全控制,比如这里边我有多个,那对我多个都进行这么一个反控制,比如这些都进控制,这是第一个叫角色部分,各位都知道啊,然后里边第二部分,就咱说里面这个叫角色绑定。啊,角色绑定,那角色绑定里边呢,其实主要有这么两个东西啊,一个叫肉帮定。肉绑定什么意思呢?就是将你的角色绑定到主体上啊,将角色绑定到主体上。
08:08
这个好理解啊,比如我这个self啊,要Lucy啊这个过程,然后这里边还有一个叫这个class road帮顶,这指的是你的集群角色帮,要注意成,因为他有集群的情况。Class。Funding。它是将这个集群的角色。绑定到。主体上啊,这个叫就做绑定,然后最后有这么一个,就是咱刚才说那个主体。就是最后一个主体,然后主体里边它有这个叫user啊,就是咱说那个用户。啊,User,就是我们说的普通的那个用户,然后除了他之外,还有一个叫group,是你那个用户组,另外还有一个叫service account服务账号,这一般用于我们的po访问。
09:01
Service account。咱说那个叫服务的这么一个账号,一般用于pod访问,所以这个啊是咱说的RBAC的这么一种,就是基于角色访问控制的这么一个结构,也可以说是一种角色访控制一个模型,里边有这么一个部分角色,角色绑定主体,然后你为角色授予相关的这个访问的权限,或者这个资源,我们通过用户给他绑定,用户也能进行对应的这么一个操作。这个啊,咱们就做一个说明,关于这个RBAC的这么一种反问控制模型,所以现在咱就说完了KYS基因中的安全机制中的理论的概念啊,大家把这概念给他,要知道这个我们就介绍完了。
我来说两句