OpenShift Container Platform 4.13 认证和授权

《OpenShift Container Platform 4.13 认证和授权》主要内容总结如下： ### 1. **角色绑定关系** 文档展示了OpenShift Container Platform 4.13中集群角色、本地角色、集群角色绑定、本地角色绑定、用户、组以及服务账户之间的关系，并特别提到本地角色绑定可以用于将本地角色绑定到cluster-admin。 ### 2. **RBAC规则与权限** - **警告**：当`get pods/exec`、`get pods/*`和`get *`规则应用于角色时，会授予执行权限。建议遵循最小特权原则，仅分配必要的RBAC权限。 - **权限评估**：OpenShift Container Platform通过以下因素评估授权： - **身份**：包括用户名和用户所属组。 - **操作**：由动词（如get、list、create、update、delete、watch）和资源名称组成。 - **项目**：用户访问的Kubernetes命名空间。 - **绑定**：相关资源绑定。 ### 3. **云凭证管理** - 支持多种云供应商（如AWS、Azure、GCP、IBM Cloud等）的IAM配置，部分供应商支持手动创建IAM资源。 - 在集群中添加`CloudCredential`资源时，可以通过注解`cloudcredential.openshift.io/upgradeable-to`配置升级版本，并验证升级状态。 ### 4. **身份提供程序配置** - 用户可以通过添加身份提供程序（如BasicAuth、Google、OpenID Connect等）实现身份验证。 - 先决条件包括创建集群、定义自定义资源（CR）以及以管理员身份登录。 - 流程包括应用CR、获取OAuth令牌、登录集群并验证配置。 ### 5. **OAuth与令牌** - OpenShift Container Platform支持OAuth 2.0，用户登录后可获得令牌用于访问API。 - 通过Web控制台或CLI工具（如`oc login --token`）可以完成身份验证。 ### 6. **其他资源** - 提供了多种云供应商的IAM配置示例，如AWS IAM、GCP Workload Identity、IBM Cloud IAM等。 - OpenShift通过RBAC保护集群安全，支持用户和服务账户的身份验证与权限管理。 ### 7. **注意事项** - 使用`oc apply`定义资源时可能触发警告，部分情况下可以忽略。 - 配置身份提供程序时需确保客户端证书和密钥的正确引用。 - 文档涵盖了身份提供程序通用参数（如`mappingMethod`）的详细说明。 ### 总结 本文档主要阐述了OpenShift Container Platform 4.13中基于角色的访问控制（RBAC）、身份验证配置、云凭证管理以及OAuth令牌的使用方法，旨在帮助用户和服务配置身份验证和访问控制，以保障集群安全。