所有对k8s的控制,都是通过访问 apiserver 完成的。RBAC用于控制访问 apiserver 时的身份与权限。在使用 kubectl 时,默认为认证为 admin 用户。而Pod中的进程如果要访问 apiserver ,同样需要一个身份,这个身份就通过 ServiceAccount 来实现。

Role

用于控制对一个 namespace 的访问权限

ClusterRole

用于控制对整个集群的访问权限

RoleBinding/ClusterRoleBinding

用于将Role和ClusterRole绑定到用户,用户组或ServiceAccount