Kubernetes详解（五十三）——Kubernetes Role创建和Rolebinding

今天继续给大家介绍Linux运维相关知识，本文主要内容是Kubernetes Role创建和Rolebinding。

一、Kubernetes Role创建

首先，我们先来创建一个Role。我们可以通过两种方式来创建Role，一种是通过命令的方式创建，Role创建命令格式如下：

kubectl crate role 【Role名称】 --verb=【该Role所具有的权限】 --resources=【该Role所能控制的对象】

例如，执行命令：

kubectl crate role pods-reader --verb=get,list,watch --resources=pods

就可以创建一个名为pods-reader的Role，并且该Role拥有对Pod资源的查看权。
此外，我们还可以通过资源清单的方式来配置，与上文命令相同的资源清单配置如下：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:name: pod-reader
rules:
- apiGroups:- ""resources:- podsverbs:- get- list- watch

配置好的清单如下：

在上述清单中，我们使用了verbs来指定权限，使用resources来指定资源对象。之后，我们执行命令：

kubectl apply -f role.yaml

来执行该清单创建Role，该命令执行结果如下所示：

我们来查看当前的Role，结果如下：

二、Kubernetes Rolebinding

在Kubernetes详解（五十一）——Kubernetes用户创建一文中，我们为Kubernetes集群创建了一个pzz的用户。接下来，我们创建一个Rolebinding，将该用户绑定我们刚刚创建的Role。
Rolebinding的创建也有两种方式，一种是通过命令的方式创建，另一种是通过资源清单的方式创建。
Kubernetes集群创建Rolebinding的命令格式如下：

kubectl create rolebinding 【Rolebinding名】 --role=【Role名】 --user=【用户名】

例如，我们执行命令：

kubectl create rolebinding bind-pod-reader --role=pods-reader --user=pzz

即可创建名为bind-pod-reader的Rolebinding，将pzz用户和pods-reader权限绑定在一起。
除此之外，我们还可以使用资源清单的方式创建该Role，与上述命令作用相同的资源清单如下：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:name: bind-pod-reader
roleRef:apiGroup: rbac.authorization.k8s.iokind: Rolename: pod-reader
subjects:
- apiGroup: rbac.authorization.k8s.iokind: Username: pzz

在上述配置中，我们使用了RoleRef来指定Role，使用了subjects来指定User。
配置完成后的资源清单文件如下：

在资源清单文件配置完成后，我们执行命令：

kubectl apply -f rolebinding.yaml

根据我们配置的资源清单创建Rolebinding，该命令执行结果如下所示：

之后，我们查看该Rolebinding，执行命令：

kubectl describe rolebinding bind-pod-reader

该命令执行结果如下所示：

三、效果展示

最后，我们用pzz用户登录，查看是否有相应的权限，执行命令：

kubectl config use-context pzz@kubernetes

可以将当前用户切换到pzz，之后，我们尝试查看default的Pods和kube-system的Pods，结果如下所示：

从上图可以看出，我们的pzz用户已经具有了对namespace名称空间内的Pod的访问权限，但是没有对kube-system名称空间的权限，我们的Rolebinding绑定Role和用户实战成功！
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200