Secret是用来保存和传递密码、密钥、认证凭证这些敏感信息的对象。

使用Secret的好处是可以避免把敏感信息明文卸载配置文件里。

用户账户为人提供账户标识，而服务账户为计算机进程和k8s集群中运行的Pod提供账户标识。

用户账户对应的是人的身份，人的身份与服务的namespace无关，所以用户账户是跨namespace；而服务账户对应的是一个运行中程序的身份，与特定的namespace相关。

Namespace是一组资源和对象的抽象集合，可以将系统内部的对象划分为不同的项目组或用户组。

常见的pods，services，replication controllers和deployments等都是属于某一个namespace（默认是default）。

node，persistentVolumes则不属于任何namespace。

k8s集群初始有两个名字空间，分贝时default和kube-system，除此之外，管理员可以创建新的名字。

k8s在1.3版本中发布了alpha版的基于角色访问控制（Role-based Access Control，RBAC）

相对于基于属性的访问控制（Attribute-based Access Control，ABAC），RBAC主要引入角色（Role）和角色绑定（RoleBinding）的抽象概念。

在ABAC中，k8s集群中的访问策略只能跟用户直接关联；而在RBAC中，访问策略可以跟某个角色关联，具体的用户再跟一个或多个角色相关联。

核心概念04

results matching ""