Kubernetes基于层级命名空间的多租户隔离

网友投稿 690 2022-05-30

目录

Kubernetes — 基于层级命名空间的多租户隔离

文章目录

目录

基于命名空间的多用户模型

基于层级命名空间的多租户隔离

示例

基于命名空间的多用户模型

在单个 Kubernetes Cluster 上安全托管多用户一直是个难题。其中最大的麻烦就是不同的组织会以不同的方式使用 Kubernetes,很难找到一种通用的多用户模型来适配所有组织。但是,Kubernetes 只提供了创建不同多用户模型的基础构件,例如:Namesapce、RBAC、NetworkPolicies。

其中最重要的就是 Namespace,它构成了 Kubernetes 控制平面的安全和共享策略的骨干。Namespace 有两个关键属性,使其成为策略执行的理想选择:

首先,Namespace 可以用于表示所有权。通常的,Kubernetes 大多数的对象资源都会被划分到某个 Namespace 中。所以,如果我们使用 Namespace 来代表资源的所有权的话,那么一个 Namespace 中的所有资源对象都被描述为属于同一个用户。

其次,Namespace 的创建和使用需要进行认证、鉴权、授权。只有超级管理员才能创建 Namesapce,其他用户需要明确的权限才能使用这些 Namespace,包括:创建、查看和修改 Namespace 下属的资源对象。所以,可以通过设置恰当的安全策略,来防止非特权用户操作特定的资源对象。

然而在实际使用中

Kubernetes

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:互联网协议 — TCP — 拥塞控制(网络质量保障)
下一篇:《Spark数据分析:基于Python语言 》 —1.2.7 Spark与Hadoop
相关文章