2.10. 保护容器平台
OpenShift Container Platform 和 Kubernetes API 是大规模自动化容器管理的关键。API 用于:
- 验证并配置 Pod、服务和复制控制器的数据。
- 在收到传入请求时执行项目验证,并对其他主要系统组件调用触发器。
OpenShift Container Platform 中基于 Kubernetes 的安全相关功能包括:
- 多租户,将基于角色的访问控制和网络策略组合起来,以在多个级别上隔离容器。
- 准入插件,在 API 和向 API 发出请求的各方之间形成界限。
OpenShift Container Platform 使用 Operator 来自动化和简化 Kubernetes 级别安全功能的管理。
2.10.1. 使用多租户隔离容器 复制链接链接已复制到粘贴板!
多租户允许 OpenShift Container Platform 集群上由多个用户拥有并在多个主机和命名空间中运行的应用程序保持相互隔离并与外部攻击隔离。要获取多租户,您可以将基于角色的访问控制 (RBAC) 应用到 Kubernetes 命名空间。
在 Kubernetes 中,命名空间是应用程序可以独立于其他应用程序运行的区域。OpenShift Container Platform 使用和扩展命名空间的方式是添加额外的注解,包括在 SELinux 中的 MCS 标签,并将这些扩展命名空间标识为项目。在项目范围内,用户可以维护自己的集群资源,包括服务帐户、策略、限制和各种其他对象。
可将 RBAC 对象分配给项目,以便授权所选用户访问这些项目。该授权采用规则、角色和绑定的形式:
- 规则会定义用户可在项目中创建或访问的内容。
- 角色是您可以绑定到所选用户或组的规则集合。
- 绑定会定义用户或组与角色之间的关联。
本地 RBAC 角色和绑定将用户或组附加到特定项目。集群 RBAC 可将集群范围的角色和绑定附加到集群中的所有项目。有默认的集群角色可以分配,用来提供 admin、basic-user、cluster-admin 和 cluster-status 访问。