目录

基于命名空间的多用户模型

在单个 Kubernetes Cluster 上安全托管多用户一直是个难题。其中最大的麻烦就是不同的组织会以不同的方式使用 Kubernetes，很难找到一种通用的多用户模型来适配所有组织。但是，Kubernetes 只提供了创建不同多用户模型的基础构件，例如：Namesapce、RBAC、NetworkPolicies。

其中最重要的就是 Namespace，它构成了 Kubernetes 控制平面的安全和共享策略的骨干。Namespace 有两个关键属性，使其成为策略执行的理想选择：

1. 首先，Namespace 可以用于表示所有权。通常的，Kubernetes 大多数的对象资源都会被划分到某个 Namespace 中。所以，如果我们使用 Namespace 来代表资源的所有权的话，那么一个 Namespace 中的所有资源对象都被描述为属于同一个用户。

2. 其次，Namespace 的创建和使用需要进行认证、鉴权、授权。只有超级管理员才能创建 Namesapce，其他用户需要明确的权限才能使用这些 Namespace，包括：创建、查看和修改 Namespace 下属的资源对象。所以，可以通过设置恰当的安全策略，来防止非特权用户操作特定的资源对象。

然而在实际使用中

文章来源: is-cloud.blog.csdn.net，作者：范桂飓，版权归原作者所有，如需转载，请联系作者。

原文链接：is-cloud.blog.csdn.net/article/details/109968409