Überblick
Kubernetes Role-based Access Control (RBAC) ist eine Form der Identitäts- und Zugriffsverwaltung (IAM), die eine Reihe von Berechtigungen oder Vorlagen umfasst, die festlegt, wer (Subjekte) was (Verben) wo (Namespaces) ausführen kann. RBAC ist eine Weiterentwicklung der herkömmlichen Attribute-based Access Control (ABAC), die den Zugriff auf der Grundlage des Namens, statt des Verantwortungsbereichs des Nutzers gewährt.
State of Kubernetes Security Report 2021
Erfahren Sie, wie Unternehmen Kubernetes-Sicherheitsinitiativen implementieren – einschließlich Kubernetes RBAC.
Was ist Kubernetes?
Kubernetes (auch als k8s oder kube bekannt) ist eine Container-OrchestrierungsplattformaufOpen Source-Basis, mit der viele manuelle Prozesse automatisiert werden können, die mit der Bereitstellung, Verwaltungund Skalierung von containerisierten Anwendungen einhergehen.
Gemanagt von Kubernetes, eignen sich Linux-Container ideal zur eigenständigen Bereitstellung und Ausführung Ihrer microservice-basierten Apps. Und da Kubernetes-Deployments in YAML geschrieben sind, ist der Code für Menschen lesbar.
Was sind Rollen?
Rollen gewähren verschiedene Zugriffsebenen auf Pods und Knoten. Rollen können für den Zugriff auf eine bestimmte Gruppe von Clustern autorisiert werden, die als Anwendungsworkload (auch als Rollen bezeichnet) oder ganze Cluster (als Cluster-Rollen bezeichnet) zusammenarbeiten.
- Rollen gewähren Berechtigungen für virtuell verknüpfte Gruppen von Clustern, die als Namespaces bezeichnet werden. Rollen sind eine Art von Namespace-Ressource, denn der Benutzerzugriff auf eine Workload hängt davon ab, welche Cluster im jeweiligen Namespace enthalten sind. Benutzer, Benutzergruppen oder Dienstkontonamen können durch Rollenbindung in einer einzigen Rolle konsolidiert werden.
- Clusterrollen gewähren Berechtigungen für gesamte Cluster, bei denen es sich um Gruppen einzelner Hardwareknoten handelt. Clusterrollen können mehrere Namespaces umfassen. Die Clusterrollenbindung bindet eine Clusterrolle an jeden Namespace in einem Cluster. Der Clusterrollenname des Clusteradministrators hat beispielsweise uneingeschränkten Zugriff auf alle Cluster.
Rollenbindung und Clusterrollenberechtigungen können mithilfe von Metadaten kombiniert und in Stacks zusammengefasst werden. Dadurch werden in einer Clusterrolle definierte Berechtigungen für Ressourcen im Namespace der Rollenbindung gewährt. Gemeinsame Rollen werden in einem Cluster definiert, die in mehreren Namespaces wiederverwendet werden können.
Wie funktioniert Kubernetes RBAC?
Die Kubernetes-API (Application Programming Interface) ist das Frontend der Kubernetes-Control-Plane. Die Kubernetes-API kommuniziert Interaktionen mit einem Computer oder System, um Informationen abzurufen oder eine Funktion auszuführen.
Kubernetes RBAC sammelt verwandte Funktionsanfragen in API-Gruppen, die mit API-Servern kommunizieren, wenn sie bestimmte Rollen mit API-Endpunkten verbinden.
Weitere Informationen zur Verwendung von Kubernetes RBAC – einschließlich der Kubernetes-Dokumentation, der rbac.authorization.k8s.io-Authentifizierung, des kubectl-Befehlszeilentools, Add-ons, kubelet TLS-Bootstrapping und Einrichten von Netzwerkrichtlinien finden Sie in den RBAC-Dokumenten des Open-Source-Projekts.
Warum Red Hat?
Red Hat war eines der ersten Unternehmen, das bereits vor dem Start mit dem Schöpfer von Kubernetes – Google – an diesem Projekt zusammengearbeitet hat. Seither ist Red Hat der zweitwichtigste Mitwirkende am Kubernetes-Upstream-Projekt und einer der ersten, der eine Enterprise-Kubernetes-Plattform auf den Markt gebracht hat.
Red Hat® OpenShift® ist Kubernetes für Unternehmen. Es enthält alle zusätzlichen Technologien, die Kubernetes leistungsfähiger und tragfähiger machen. Zu diesen Komponenten gehören unter anderem Netzwerk, Authentifizierung, Überwachung, Sicherheit und Automatisierung.
Im Gegensatz zu anderen Anbieterplattformen, die proprietäre Komponenten sowie komplexe Prozesse erfordern, ist Red Hat OpenShift eine einzige, integrierte Plattform für Betriebs- und Entwicklungsteams, die beliebte Storage- und Netzwerk-Plugins für Kubernetes validiert und Überwachungs-, Protokollierungs- sowie Analytics-Lösungen enthält.
Basierend auf den Grundlagen von OpenShift können Sie Red Hat Advanced Cluster Management und Red Hat Ansible® Automation Platform zusammen verwenden, um mehrere Kubernetes-Cluster in verschiedenen Umgebungen effizient bereitzustellen und zu verwalten.