#RBAC

2 件の記事

K8s 高級 #2 RBAC / ServiceAccount 深さ — Aggregated ClusterRole / Impersonation / IRSA / Workload Identity
読了 10分

K8s 高級 #2 RBAC / ServiceAccount 深さ — Aggregated ClusterRole / Impersonation / IRSA / Workload Identity

[中級 #7](/ja/posts/k8s-intermediate-7) で RBAC の 4 つのオブジェクトと ServiceAccount のモデルを押さえました。その上に運用クラスタで出会う深さがさらにあります。ClusterRole をラベルで合わせて拡張可能にする Aggregated ClusterRole、別のユーザーの権限で一時的に振る舞う Impersonation、ServiceAccount のトークンが legacy secret から projected token に変わった流れ、そして K8s の ServiceAccount をクラウドの IAM と組み合わせる EKS の IRSA と GKE の Workload Identity まで — 権限モデルの 1 層さらに深い部分をまとめます。

K8s 中級 #7 RBAC / NetworkPolicy / ResourceQuota — セキュリティとリソースポリシー
読了 23分

K8s 中級 #7 RBAC / NetworkPolicy / ResourceQuota — セキュリティとリソースポリシー

K8s 中級シリーズの最後の記事です。[#6](/ja/posts/k8s-intermediate-6) までワークロード運用モデル — コントローラ、永続データ、外部入口、リソースモデル、ヘルスチェック、オートスケーリング — まで整理しました。この記事では 1 つのクラスタの上に複数のチーム・環境が一緒に住むマルチテナント運用の最後の空白を埋める 3 つのオブジェクト `RBAC`、`NetworkPolicy`、`ResourceQuota` を整理します。誰がオブジェクトを作れるか、どんなトラフィックが通るか、どれくらい作れるかの 3 つの次元がすべて namespace 単位ポリシーとして束ねられ、[基礎 #7](/ja/posts/k8s-basics-7) で短く触れた Namespace の本当の価値がこの 3 つで解かれます。シリーズ最後の記事なので、7 編の振り返りと次のトラック(K8s 上級)の予告も合わせて入れます。