Kubernetes — 基于层级命名空间的多租户隔离

目录

文章目录

目录

基于命名空间的多用户模型

基于层级命名空间的多租户隔离

示例

基于命名空间的多用户模型

在单个 Kubernetes Cluster 上安全托管多用户一直是个难题。其中最大的麻烦就是不同的组织会以不同的方式使用 Kubernetes，很难找到一种通用的多用户模型来适配所有组织。但是，Kubernetes 只提供了创建不同多用户模型的基础构件，例如：Namesapce、RBAC、NetworkPolicies。

其中最重要的就是 Namespace，它构成了 Kubernetes 控制平面的安全和共享策略的骨干。Namespace 有两个关键属性，使其成为策略执行的理想选择：

首先，Namespace 可以用于表示所有权。通常的，Kubernetes 大多数的对象资源都会被划分到某个 Namespace 中。所以，如果我们使用 Namespace 来代表资源的所有权的话，那么一个 Namespace 中的所有资源对象都被描述为属于同一个用户。

其次，Namespace 的创建和使用需要进行认证、鉴权、授权。只有超级管理员才能创建 Namesapce，其他用户需要明确的权限才能使用这些 Namespace，包括：创建、查看和修改 Namespace 下属的资源对象。所以，可以通过设置恰当的安全策略，来防止非特权用户操作特定的资源对象。

然而在实际使用中

Kubernetes

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。