O que é o controle de acesso baseado em função (RBAC)?

O Controle de Acesso Baseado em Função (RBAC) do Kubernetes é uma forma de gerenciamento de identidade e acesso (IAM) que envolve um conjunto de permissões ou um template que determina quem (sujeitos) pode executar o que (verbos) e onde (namespaces). O RBAC é uma evolução do controle de acesso baseado em atributo tradicional (ABAC), que concede acesso com base no nome do usuário em vez de nas responsabilidades dele.

O Kubernetes (também conhecido com k8s ou kube) é uma plataforma de orquestração de containersopen source que automatiza grande parte dos processos manuais necessários para implantar, gerenciar e escalar aplicações em containers. 

Quando administrados pelo Kubernetes, os containers do Linux oferecem às aplicações baseadas em microserviços uma unidade de implantação e um ambiente de execução autônomo ideais. E como as implantações do Kubernetes são escritas em YAML, o código é legível por humanos.

As funções concedem vários níveis de acesso a pods e nós. As funções podem ser autorizadas para acessar um grupo específico de clusters trabalhando em conjunto como uma aplicação de carga de trabalho (conhecido apenas como funções) ou clusters inteiros (conhecidos como cluster de funções).

• As funções concedem permissão para grupos de clusters conectados virtualmente, conhecidos como namespaces. Elas são um tipo de recurso com namespace porque o acesso do usuário a uma carga de trabalho é determinado por quais clusters são incluídos no namespace específico. Os usuários, grupos de usuários ou nomes de contas de serviços podem ser consolidados em uma única função por meio da vinculação de funções.
• As funções de cluster dão permissão a clusters inteiros, que são grupos de nós de hardware individuais. Essas funções podem abranger vários namespaces. A vinculação da função do cluster associa uma função de cluster a cada namespace em um cluster. Por exemplo, o nome da função do administrador do cluster tem acesso irrestrito a todos os clusters.

As permissões de funções de cluster e vinculação de funções podem ser combinadas e empilhadas usando metadados. Isso concede as permissões definidas em uma função de cluster aos recursos do namespace da vinculação de função, o que ajuda a definir funções comuns em um cluster que podem ser reutilizadas em vários namespaces.

A interface de programação de aplicações (API) do Kubernetes é o front-end do plano de controle do Kubernetes. A API do Kubernetes comunica as interações com um computador ou sistema para recuperar informações ou executar uma função. 

O RBAC do Kubernetes coleta solicitações de funções relacionadas em grupos da API, que se comunicam com servidores dela ao conectar determinadas funções a endpoints da API.

Para mais informações sobre o uso do RBAC do Kubernetes, incluindo a documentação do Kubernetes, autenticação rbac.authorization.k8s.io, ferramenta de linha de comando kubectl, complementos, inicialização da TLS do kubelet e configuração de políticas de rede, acesse a documentação do RBAC para projetos open source.

A Red Hat foi uma das primeiras empresas a trabalhar com o Google no projeto do Kubernetes, antes mesmo de seu lançamento. Desde então, tornou-se a segunda maior colaboradora do projeto upstream do Kubernetes e uma das primeiras a comercializar uma plataforma empresarial do Kubernetes. 

O Red Hat® OpenShift® é o Kubernetes para empresas, que inclui todos os elementos de tecnologia que tornam o Kubernetes mais eficiente e viável. Esses componentes incluem rede, autenticação, monitoramento, segurança e automação, entre outros. 

Ao contrário de outras plataformas de fornecedores que requerem componentes proprietários e processos complexos, o Red Hat OpenShift é uma plataforma única e integrada para equipes de operações e desenvolvimento, que valida plug-ins populares de armazenamento e rede para o Kubernetes e inclui soluções incorporadas de monitoramento, registro e análise.