服务账户：

用于定义对资源的访问权限

角色(Role)---命名空间下的权限的设置(增删改查)

role是一种kubernetes对象，它定义了特定命名空间内资源的一组权限，这些权限可以是创建，读取，更新和删除等操作，针对特定的API资源对象(Pod,Service,CongifMap等)

role对象只在特定的命名空间内生效，即它定义的权限只适用于该命名空间内的资源

集群角色(ClusterRole)---对于整个集群的权限的设置

ClusterRole也是一种k8s对象，与Role类似，但是作用的范围更广泛，可以应用于整个集群，而不限于特定的命名空间

ClusterRole定义了对集群范围内的资源的权限，可以包括所有命名空间中资源，也可以包含集群级别的资源，例如，节点，命名空间等

二者的区别

在kubernetes中，角色绑定和集群角色绑定用于将用户，组，或服务账户与角色或集群角色关联起来，从而赋予他们相应的权限，他们的作用就是将权限分配给特定的实体，使其能够执行定义在角色或集群角色中的操作

角色绑定(RoleBinding)

RoleBinding是一种kubernetes对象，用于将特定的角色(role)与特定的用户，组，或者服务账户绑定在一起，从而赋予他们在某个命名空间内的资源上执行操作的权限

例如，可以创建一个RoleBinding，将角色(editor)与用户alice绑定在一起,这样alice就具有在特定命名空间内编辑资源的权限

集群角色绑定(ClusterRoleBinding)

作用范围更加的广,将集群角色与用户，组，服务账户绑定在一起，赋予他们在整个集群范围内执行操作的权限

例如,可以创建一个ClusterRoleBind,将集群角色管理员(ClusterAdmin)与用户组"管理员组"绑定在一起,这样管理员组就具有在整个集群中执行管理员操作的权限

通过角色绑定,kubernetes管理员可以灵活的控制不同用户，组,服务账户对集群资源的访问权限，从而实现安全的权限管理

在kubernetes中，主体(Subject)是具有身份的实体,通常是用户，组，或服务账户，主体通过角色绑定或者集群角色绑定与角色或者集群角色关联在一起，从而获取对kubernetes资源的访问权限

主体

用户：k8s中与外部身份验证服务集成,以允许使用基于用户和密码的身份验证机制登录到集群中，登录成功后，用户被视为主体，并根据被分配角色获得相应的权限

组：在某些情况下，将一组用户组织在一起，并且为整个组分配权限可能更加的方便，不用一个一个的用户分配权限，他们加入到一个组中，然后对于这个组分配权限;可以通过角色绑定或集群角色绑定将组与角色或者集群角色关联起来,从而将权限分配给组内的所有成员，快捷

服务账户：服务账户是k8s一种特殊类型的身份，用于表示正在运行的容器或pod,他们通常用于实现应用程序和其他k8s部署的自动化任务，通常为服务账户分配适当的角色或集群角色，可以确保他们具有执行操作所需的权限

总之

kubernetes api server与RBAC组件之间实现认证授权机制过程如下

当用户或服务向api server发起请求时,首先会经过认证阶段,认证过程验证请求的身份是否合法,并确定请求的发起者是谁，哪一个主体(用户,组，服务账户)

k8s支持多种认证方式,包括基本验证,客户端证书认证,Token认证等，用户可以根据需求选择适合的认证方式

认证成功后,api server将为请求分配一个身份标识，用于后续的操作

在认证成功后,api server 会将请求与RBAC规则进行匹配，以确定请求是否被允许执行，这个过程被称为授权

RBAC规则由Role,ClusterRole，RoleBinding和ClusterRoleBinding定义，用于描述用户，组或服务账户在集群中的访问权限

当请求达到API server后，api server会将请求中包含的身份信息，以及RBAC规则中定义的权限来决定是否允许执行请求所涉及的操作

如果请求的身份与RBAC规则匹配且有足够的权限，则api server授权请求执行操作，否则，请求被拒绝，并返回相应的错误信息

RBAC(基于角色的访问控制),在k8s中权限检查流程如下

认证

授权：一但用户或服务通过认证，api server对请求的进行授权检查，授权检查的过程包括以下步骤

识别主体，api server根据认证信息识别请求的主体,即发送请求的用户，服务或实体

确定请求的操作和目标资源，api server解析请求中包含的操作(例如,get,post,delete等)和目标资源(pod,deploy等)

查询RBAC规则,api server根据主体和请求的操作的资源,查询与之相关的RABC规则,这些规则通常存储在集群中的role,ClusterRole，rolebinding和clusterrolebinding中

匹配规则，api server会将查询到的规则与请求的进行匹配,如果存在请求匹配的规则,则请求被授权执行，否则，请求被拒绝

执行请求：如果请求同构了授权检查，api server将hi执行请求所代表的操作，列如创建，更新，删除资源等

通过以上的流程，RBAC系统实现了对用户和服务细粒度访问控制，确保只有经过授权的和服务才能执行特定的操作

原理：通过创建证书和切换上下文环境的方式来创建和切换用户

是一种身份验证和授权的机制,用于k8s集群内部进行服务间通信和资源访问的身份的认证

k8s中每个pod都有一个服务账户相关联，默认的情况下，pod使用其所属命名空间中默认服务账户(创建一个名称空间，默认会创建一个default的服务账户)，服务账户通过为pod分配身份，使其能够与api 进行交互并访问其他的资源

适用的场景

pod需要与api交互，获取或修改资源的信息，获取自己和别人的信息，还能修改，只要有足够的权限

pod需要访问其他的k8s资源，configmap，secret或者其他的pod

pod需要执行某些身份认证的操作，例如通过serviceaccount获取其他的api资源

详细的介绍

service account服务账户是给运行在pod里面程序使用的身份认证，pod里面的进程需要访问api server时，用的就是service account账户

service account仅局限在namespace,只有该namespace下的pod引用这个service account才有权限,然后关联这个secret，这个里面有service account的相关信息(token,ca,等),访问api server时用的token，ca，这些信息都会被挂载到容器里面去

在名称空间中创建Pod的时候，不指定pod所用的service account将会默认使用默认的serviceaccount(也就是默认名称空间下面有一个服务账户)

service account为服务提供了一种方便的认证机制，但是service account不关心授权问题，pod绑定了service account之后，仅仅是能够访问api server了,但是能访问api server中的哪些资源了(pod,deploy,configmap)需要配合RBAC来为service account授权,

Service account

service account就是有一个关联的secret，挂载到了pod里面的容器里面了，访问api server获取(操作)，靠的就是这些secret

创建pod的时候指定service account，这样secret就能挂载上去了

角色绑定service account，这样这个账户就能获取权限了，随之里面的pod也能获取相应的权限

每一个pod里面都有一个相关联的service account

User

Group

在k8s中任何的请求与api server进行交互的时候，需要进行验证身份

然后进行授权(权限鉴别)，是否有操作

更加精确的访问控制

记住是任何的请求

当有一个创建pod的请求发送过来时

先判断他的身份是什么，用户还是,服务账户，认证成功后，与api server建立连接

通过了认证的阶段，然后进行RBAC权限的鉴定，判断这个用户或者服务账户绑定的角色或者集群角色是否有创建Pod的权限，有则执行，没有则拒绝(reject)

这就是认证和授权的流程，

关于服务账户的话

服务账户就是为了pod而活的

进入pod里面，向api server发送请求(比如列出这个名称空间下面的所有pod),判断这个pod的service account的角色绑定是否有这个权限，有则通过，

这个目的主要就是管理pod而用的

最重要的就是每个pod都必须有一个相关联的service account账户

集群角色中的名称空间和绑定有没有影响，对于这个集群角色？

就是集群角色是整个集群内，跟名称空间没有关系，但是可以通过集群角色绑定来绑定到一个名称空间内，这样的话就只能在这个名称空间下面使用该权限了

集群角色中有这个namespace的参数，但是这个不影响它，主要就是靠集群角色绑定到名称空间下来进行影响的

如果不设置名称空间的话，那么在所有名称空间内都有这个权限

身份认证 1、客户端使用客户端证书和私钥与K8s api服务器进行通信，服务器验证客户端证书有效性,以确定客户端的身份

证书认证

客户端在请求api服务器时，使用包含在配置文件中的客户端证书和私钥进行认证

api服务器使用他的CA整数来验证客户端证书的签名，以确保客户端是被信任的实体

加密通信