上一篇对RBAC做了一个简单的介绍,接下来我们一起看看更为具体的细节。
Role和ClusterRole
RBAC的Role或ClusterRole中包含一组代表相关权限的规则。需要注意的是,这些权限是纯粹累加的(不存在拒绝某操作的规则)。Role的作用范围是某个命名空间(namespace),而ClusterRole的作用范围则是整个k8s集群。为什么在Role之后,还会出现ClusterRole呢?其一是因为有些对象,不是namespace级别的,比如node,其二是我们是需要一些权限,能够对整个集群所有namespace都产生作用,这个时候用Role的话就会相对麻烦。
摘自