Kubernetes illustration
Raccourcis

Le contrôle d'accès basé sur les rôles (RBAC) pour Kubernetes, qu'est-ce que c'est ?

Copier l'URL

Le contrôle d'accès basé sur les rôles (RBAC) pour Kubernetes est une forme de gestion des identités et des accès qui implique un ensemble d'autorisations ou un modèle qui détermine qui (sujets) peut exécuter quoi (verbes) et où (espaces de noms). Le RBAC est une évolution du traditionnel contrôle d'accès basé sur les attributs (ABAC), qui accorde l'accès en fonction du nom de l'utilisateur plutôt que de ses responsabilités.

Rapport sur l'état de la sécurité de Kubernetes 2021

Découvrez comment les entreprises mettent en œuvre des initiatives de sécurité Kubernetes, notamment le contrôle d'accès basé sur les rôles pour Kubernetes.

Kubernetes (« k8s » ou « kube ») est une plateforme d'orchestration de conteneurs Open Source qui automatise de nombreux processus manuels associés au déploiement, à la gestion et à la mise à l'échelle des applications conteneurisées. 

S'ils sont gérés par Kubernetes, les conteneurs Linux constituent une unité de déploiement et un environnement d'exécution parfaitement adaptés pour les applications basées sur des microservices. Et comme les déploiements Kubernetes sont écrits au format YAML, les utilisateurs peuvent facilement lire le code.

Les rôles accordent différents niveaux d'accès aux pods et aux nœuds. Les rôles peuvent être autorisés à accéder à un groupe spécifique de clusters qui fonctionnent ensemble en tant que charge de travail d'application (les rôles) ou à des clusters entiers (les rôles de clusters).

  • Les rôles accordent des autorisations à des groupes de clusters virtuellement liés, appelés espaces de noms. Les rôles sont un type de ressource à espace de noms, car l'accès des utilisateurs à une charge de travail est déterminé par les clusters inclus dans l'espace de noms spécifique. Les utilisateurs, les groupes d'utilisateurs ou les noms de comptes de service peuvent être regroupés dans un seul rôle grâce aux liaisons de rôles.

  • Les rôles de clusters accordent des autorisations à des clusters entiers, qui sont des groupes de nœuds matériels individuels. Les rôles de clusters peuvent couvrir plusieurs espaces de noms. Une liaison de rôle de clusters permet de lier un rôle de clusters à chaque espace de noms dans un cluster. Par exemple, le nom de rôle de clusters correspondant à l'administrateur de clusters a un accès illimité à tous les clusters.

Les liaisons de rôles et les autorisations de rôles de clusters peuvent être combinées et empilées à l'aide de métadonnées. Cette technique permet d'accorder les autorisations définies dans un rôle de clusters aux ressources situées dans l'espace de noms de la liaison de rôle, et donc de définir des rôles communs dans un cluster qui peuvent être réutilisés dans plusieurs espaces de noms.

L'interface de programmation d'applications (API) Kubernetes est la partie front-end du plan de contrôle de Kubernetes. L'API Kubernetes communique les interactions avec un ordinateur ou un système pour récupérer des informations ou exécuter une fonction

Le RBAC Kubernetes rassemble les demandes de fonctions connexes dans des groupes d'API, qui communiquent avec les serveurs d'API lors de la connexion de certains rôles aux points de terminaison d'API.

Pour plus d'informations sur l'utilisation du RBAC pour Kubernetes (documentation Kubernetes, authentification rbac.authorization.k8s.io, outil en ligne de commande kubectl, modules complémentaires, amorçage TLS des kubelets et configuration des politiques réseau), consultez la documentation sur le RBAC du projet Open Source.

Red Hat a été l'une des premières entreprises à travailler avec le créateur de Kubernetes, Google, sur le projet avant même son lancement. Depuis, elle est devenue le deuxième contributeur principal au projet Kubernetes en amont et a été l'un des premiers éditeurs de logiciels à proposer une plateforme Kubernetes d'entreprise. 

Cette plateforme Kubernetes d'entreprise, c'est Red Hat® OpenShift®, qui comprend tous les composants technologiques supplémentaires rendant Kubernetes plus puissant et viable : mise en réseau, authentification, surveillance, sécurité et automatisation, entre autres. 

Contrairement aux plateformes d'autres fournisseurs qui nécessitent des composants propriétaires, ainsi que des processus complexes, Red Hat OpenShift est une plateforme unique et intégrée pour les équipes d'exploitation et de développement. Elle valide les plug-ins de stockage et de mise en réseau les plus utilisés pour Kubernetes et inclut des solutions intégrées de surveillance, de journalisation et d'analyse.

Pour aller plus loin

ARTICLE

Conteneurs et machines virtuelles

Les conteneurs Linux et les machines virtuelles sont des environnements informatiques en paquets qui associent divers composants et les isolent du reste du système.

ARTICLE

L'orchestration des conteneurs, qu'est-ce que c'est ?

L'orchestration des conteneurs permet d'automatiser le déploiement, la gestion, la mise à l'échelle et la mise en réseau des conteneurs.

ARTICLE

Un conteneur Linux, qu'est-ce que c'est ?

Un conteneur Linux est un ensemble de processus isolés du système. Un conteneur s'exécute à partir d'une image distincte qui fournit tous les fichiers nécessaires à la prise en charge des processus qu'il contient.

En savoir plus sur les conteneurs

Produits

Red Hat OpenShift

Plateforme de conteneurs Kubernetes pour les entreprises qui automatise l'exploitation de toute la pile pour la gestion des déploiements multicloud, de clouds hybrides et d'edge computing.

Ressources

Formations

Cours gratuit

Présentation technique de l'exécution de conteneurs avec Red Hat

Cours gratuit

Présentation technique du déploiement d'applications conteneurisées

Cours gratuit

Développement d'applications cloud-native avec des architectures de microservices

Illustration - mail

Ce type de contenu vous intéresse ?

Inscrivez-vous à notre newsletter Red Hat Shares.