DEV Community
·
CKA 快速检查要点 -- RBAC
内容提要
RBAC概述包括ServiceAccount、Role/ClusterRole及RoleBinding/ClusterRoleBinding的创建方法。使用kubectl命令创建相应资源,并在Pod的yaml文件中添加spec.serviceAccountName进行验证。
关键要点
-
RBAC概述包括ServiceAccount、Role/ClusterRole及RoleBinding/ClusterRoleBinding的创建方法。
-
使用kubectl命令创建ServiceAccount:kubectl create serviceaccount NAME -n NAMESPACE。
-
创建Role/ClusterRole的命令格式:kubectl create [role|clusterrole] NAME --verb=verb --resource=resource.group/subresource [--resource-name=resourcename]。
-
创建RoleBinding/ClusterRoleBinding的命令格式:kubectl create rolebinding NAME --clusterrole=NAME|--role=NAME [--user=username] [--group=groupname] [--serviceaccount=namespace:serviceaccountname]。
-
使用Pod的yaml文件添加spec.serviceAccountName进行验证。
-
快速验证命令:kubectl auth can-i VERB RESOURCE --as=[USER|SA] -n NAMESPACE。
延伸问答
什么是RBAC的主要组成部分?
RBAC的主要组成部分包括ServiceAccount、Role/ClusterRole及RoleBinding/ClusterRoleBinding。
如何使用kubectl创建ServiceAccount?
使用命令:kubectl create serviceaccount NAME -n NAMESPACE。
创建Role和ClusterRole的命令格式是什么?
命令格式为:kubectl create [role|clusterrole] NAME --verb=verb --resource=resource.group/subresource [--resource-name=resourcename]。
如何创建RoleBinding和ClusterRoleBinding?
使用命令:kubectl create rolebinding NAME --clusterrole=NAME|--role=NAME [--user=username] [--group=groupname] [--serviceaccount=namespace:serviceaccountname]。
如何在Pod的yaml文件中验证ServiceAccount?
在Pod的yaml文件中添加spec.serviceAccountName进行验证。
如何快速验证用户权限?
使用命令:kubectl auth can-i VERB RESOURCE --as=[USER|SA] -n NAMESPACE进行快速验证。
