【Kubernetes知识点】资源配额与访问控制
目录
1.解释ResourceQuota的作用。
2.解释Service Account的用途。
3.详细解释Role和ClusterRole。
4.什么是K8s的NetworkPolicy?
5.详细描述在K8s中如何控制跨Namespace的Pod访问?
1.解释ResourceQuota的作用。
ResourceQuota(资源配额) 是一项核心的资源管控机制,用于限制命名空间(Namespace)内的资源使用总量,防止个别应用或团队过度占用集群资源,保障集群资源的公平分配和高效利用。
2.解释Service Account的用途。
Service Account(服务账户) 是用于标识和认证集群内运行的 Pod 或进程 的身份凭证,主要用于解决 Pod 与 Kubernetes API 服务器之间的身份认证问题,以及控制 Pod 对集群资源的访问权限。
3.详细解释Role和ClusterRole。
Role 和 ClusterRole 是 RBAC(基于角色的访问控制)体系的核心组件,用于定义对集群资源的操作权限(如查看、创建、删除等)。
Role 是仅在单个命名空间(Namespace)内有效的权限集合
ClusterRole 是集群范围有效的权限集合,可定义对集群级资源、跨命名空间资源或所有命名空间资源的操作权限。
4.什么是K8s的NetworkPolicy?
NetworkPolicy(网络策略) 是用于控制 Pod 之间、Pod 与外部网络之间通信的规则集合,类似于 “网络防火墙”,通过定义流量允许 / 拒绝规则,实现对集群内部网络通信的精细化管控,提升集群网络安全性。
5.详细描述在K8s中如何控制跨Namespace的Pod访问?
在 Kubernetes 中,控制跨 Namespace 的 Pod 访问主要通过 NetworkPolicy(网络策略) 实现,结合命名空间标签选择器(namespaceSelector)和 Pod 标签选择器(podSelector),可以精确限制不同命名空间中 Pod 之间的通信。