Kubernetes — 基于層級命名空間的多租戶隔離

目錄

文章目錄

目錄

基于命名空間的多用戶模型

基于層級命名空間的多租戶隔離

示例

基于命名空間的多用戶模型

在單個 Kubernetes Cluster 上安全托管多用戶一直是個難題。其中最大的麻煩就是不同的組織會以不同的方式使用 Kubernetes，很難找到一種通用的多用戶模型來適配所有組織。但是，Kubernetes 只提供了創建不同多用戶模型的基礎構件，例如：Namesapce、RBAC、NetworkPolicies。

其中最重要的就是 Namespace，它構成了 Kubernetes 控制平面的安全和共享策略的骨干。Namespace 有兩個關鍵屬性，使其成為策略執行的理想選擇：

首先，Namespace 可以用于表示所有權。通常的，Kubernetes 大多數的對象資源都會被劃分到某個 Namespace 中。所以，如果我們使用 Namespace 來代表資源的所有權的話，那么一個 Namespace 中的所有資源對象都被描述為屬于同一個用戶。

其次，Namespace 的創建和使用需要進行認證、鑒權、授權。只有超級管理員才能創建 Namesapce，其他用戶需要明確的權限才能使用這些 Namespace，包括：創建、查看和修改 Namespace 下屬的資源對象。所以，可以通過設置恰當的安全策略，來防止非特權用戶操作特定的資源對象。

然而在實際使用中

Kubernetes

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。