温馨提示:文本由机器自动转译,部分词句存在误差,以视频为准
00:00
接下来呢,我们就看我们的三部曲的最后一部分,也就是我们的准入控制,对吧?其实准入控制这个篇章呢,就没什么好给大家去演示以及讲解的,因为基本上都是一些固定池,那准入控制是一个IPS的插件集合,通过添加不同的插件实现额外的准入控制规则。甚至于Mo的一些主要功能都需要我们的。准入控制去实现,比如我们的AC功能,其实也就意味着我们现在呢。有一个三部曲对吧。认证。健全以及主动控制认证,讲白来说就是两个用户之间的互相识别,哎,你到底是不是我自己人对吧,到底是不是自己人,自己人以后你这个自己人还不一定有什么样的权限,在经过我们所谓的健全,那这里会有对应的一些插件去实现,对吧?那我们现在实现的插件呢,叫RBAC。基于角色去访问控制,你再通过以后呢,你还是不能去访问到这个资源或掉这个资源,有没有你的访问功能还不一定呢,你需要在这里的主动控制。
01:09
啊,也就意味着现在我允许你访问集群中的某个资源,那可以在整个空格里去书写。如果有这种资源类型,你才能去访问它。当然也不是所有的会有,大部分的都要基于准入控制的实现。那当然准入控制在不同版本中,它启用的还不太一样,那这个呢,就需要去查阅你的官方文档了,对吧?看他的推荐方式,但你可以自己去删除一点,那比如我们在呃1.14版本的列表中,它只是我们官方去建议开启这么一个准控制列表。那底下呢,列举几个插件的功能对吧?比如第一个防止不存在的name space创建对象,防止删除系统预置的name space,删除name space中呢,连带删除它的所有对象资源的对象。那这个呢,就是这么一个准入控制的一个插件实现的功能,你可以理解为准入控制主要是给我们实现一些比较额外的一些功能的,对吧?甚至某些功能的开启都需要准控制中去添加好,那下一个呢,是我们的limited wrong对吧?确保请求的资源不会超过资源所在namespace的最大的资源限制好,那也就意味着如果你的尊储控制没有开启功能的话,那随便超是这个意思吧,所以还是建议大家把准入控制放在一个默认的规则中,不要自己去修改,因为很多的一些特殊功能都需要去准入控制去实现,那比如sa实现自动添加sa resource count请求的资源不会超过资源的一个限制,那这都是我们一些常见的这么一个插件的举例说明,当然在这部分还是那句话,没什么太多能给大家去讲的一个东西,准入控制,就是不同的插件去实现不同的功能,仅此而已,对吧?好,建议大家采用默认。
02:57
三方的这么一个准入控制,那这个只是简单的给大家聊了一点对吧,好,因为没确实没什么要讲的好,那这个三部曲呢,就是我们在安全机制里能给大家做到的,其实大家发现了,对于我们的认证来说,基本上现在的。
03:12
企业选择都是默认的双向认证,没有什么所谓的其他的方案,比如ton什么,比如用户密密码的认证不太现实,那健全呢,发展到今天为止啊,BEC不管是从它的友好程度来说,还是从它的覆盖面去说,它都是最优选择。所以其实这三部曲中呢,我们会发现,虽然给我们的机制很多,但是发展到今天为止,已经有一个非常成熟稳定的方案了。那。最终的方案就是IPS的双认证,加上我们的RBAC对吧,加上我们的官方的一些默认的准入控制,当然你可以去添加一些额外的功能也是没问题的,那在这里呢,我们也实现了,怎么去进行所谓的呃,不同用户的新建对吧,以及资源的分隔,好,那这节课呢,我们就先讲到这里,我们下节课再见。
我来说两句