【Kubernetes知识点问答题】资源配额 / 访问控制
目录
1. 解释 ResourceQuota 的作用。
2. 解释 Service Account 的用途。
3. 详细解释 Role 和 ClusterRole。
4. 什么是 K8s 的 NetworkPolicy?
5. 详细描述在 K8s 中如何控制跨 Namespace 的 Pod 访问?
总结
在 Kubernetes(K8s)中,管理集群资源、控制访问和网络流量是每个开发者和运维工程师必须掌握的技能。本文将从资源配额、服务账号、角色权限到网络策略,带你全面了解 Kubernetes 的核心控制机制。
1. 解释 ResourceQuota 的作用。
在一个共享集群中,不同用户或团队可能争用有限的计算资源。Kubernetes 提供了ResourceQuota(资源配额)来解决这个问题。
通过 ResourceQuota,可以限制每个命名空间的资源使用总量,例如:
限制 Pod、Service、ConfigMap 等对象的数量上限
限制命名空间中 Pod 可使用的 CPU、内存等计算资源总量
这保证了即使多人共享同一集群,也不会有人“吃掉”超出公平分配的资源,实现资源的合理调度和控制。
2. 解释 Service Account 的用途。
Pod 的身份标识
当 Pod 内运行的进程需要调用 Kubernetes API 或其他服务时,需要身份认证。Service Account(服务账号)就是为 Pod 提供这种身份标识:
Pod 与 ServiceAccount 对象绑定
Pod 内的应用使用该账号向 API 服务器进行认证
Kubernetes 根据 ServiceAccount 来识别 Pod 的权限
可以把 Service Account 理解为 Pod 的“身份证”,让 Pod 可以安全、受控地访问 API 和外部服务。
3. 详细解释 Role 和 ClusterRole。
Kubernetes 提供基于角色的访问控制(RBAC)来管理集群资源权限,主要对象包括 Role、ClusterRole、RoleBinding 和 ClusterRoleBinding:
Role:命名空间级别的角色,用于在特定命名空间中定义权限
ClusterRole:集群级别角色,可在整个集群中使用
Role 与 ClusterRole 的区分在于作用范围:Role 是命名空间内,ClusterRole 是集群范围
4. 什么是 K8s 的 NetworkPolicy?
默认情况下,Pod 是非隔离的,可以接收来自任何来源的流量。NetworkPolicy(网络策略)可以控制 Pod 的网络访问:
可以指定允许访问的 Pod、命名空间或 IP 范围
支持入站(Ingress)和出站(Egress)规则
多条 NetworkPolicy 会累积生效,确保安全策略不会冲突
Pod 被至少一条 NetworkPolicy 选中后进入“隔离状态”,只允许被策略明确允许的流量
源端 Pod 出站规则和目标 Pod 入站规则都必须允许,通信才会被允许
5. 详细描述在 K8s 中如何控制跨 Namespace 的 Pod 访问?
默认情况下,Pod 接受所有流量,不受限制
一旦 Pod 被 NetworkPolicy 选中,它将拒绝未允许的流量
若要允许两个 Pod 之间的通信,源 Pod 的出站规则和目标 Pod 的入站规则必须都允许
通过这种方式,Kubernetes 能够实现跨命名空间的网络安全管理,同时保证灵活性。
总结
Kubernetes 的核心资源管理和访问控制体系包括:
ResourceQuota:保障资源公平分配
Service Account:Pod 的身份认证机制
Role / ClusterRole:精细化权限控制
NetworkPolicy:Pod 网络隔离与访问控制