云服务器K8s API权限配置全流程指南

在云服务器上部署Kubernetes（K8s）集群时，API调用权限的合理配置是保障系统安全与稳定运行的关键。无论是控制组件间的交互，还是限制用户的操作范围，都需要通过K8s的RBAC（基于角色的访问控制）机制实现。本文将从环境准备到验证测试，详细讲解配置全流程，帮助开发者快速掌握权限管理技巧。

环境准备：确保基础条件就绪

开始配置前，需确认云服务器已完成K8s集群部署（包含Master节点与Worker节点），并安装好kubectl命令行工具。kubectl是操作K8s集群的核心工具，需通过kubeconfig文件与集群建立连接——这一步通常在集群部署时自动完成，若需手动配置，可通过`kubectl config set - clusters`等命令设置。环境就绪后，即可进入权限配置环节。

配置核心：三步完成权限绑定

第一步：创建ServiceAccount（服务账户）

ServiceAccount是K8s中为Pod或服务提供身份认证的对象，相当于“组件身份证”。通过以下命令创建名为`example-sa`的ServiceAccount：

kubectl create serviceaccount example-sa

执行后，系统会自动生成对应的Secret（包含令牌），供后续绑定权限使用。

第二步：定义Role/ClusterRole（角色）

Role与ClusterRole用于定义具体的权限规则，区别在于前者作用于单个命名空间，后者作用于整个集群。
若需控制某命名空间内的操作（如default命名空间），可创建Role。例如，允许对该命名空间下的Pod执行查看和列表操作：

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: example-role
rules:
- apiGroups: [""]  # 空字符串表示核心API组（如Pod、Service）
  resources: ["pods"]
  verbs: ["get", "list"]  # 允许的操作类型

保存为`role.yaml`后，执行`kubectl create -f role.yaml`完成创建。
若需集群级权限（如跨命名空间管理Pod），则创建ClusterRole，示例配置如下：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: example-cluster-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]

保存为`cluster-role.yaml`，执行`kubectl create -f cluster-role.yaml`即可。

第三步：绑定角色与服务账户

通过RoleBinding或ClusterRoleBinding，将已创建的Role/ClusterRole与ServiceAccount关联，使服务账户获得对应权限。
命名空间级绑定使用RoleBinding，示例配置（绑定example-role与example-sa）：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: example-role-binding
  namespace: default
subjects:
- kind: ServiceAccount
  name: example-sa  # 目标服务账户
  namespace: default
roleRef:
  kind: Role
  name: example-role  # 目标角色
  apiGroup: rbac.authorization.k8s.io

保存为`role-binding.yaml`，执行`kubectl create -f role-binding.yaml`完成绑定。
集群级绑定则使用ClusterRoleBinding，示例配置（绑定example-cluster-role与example-sa）：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: example-cluster-role-binding
subjects:
- kind: ServiceAccount
  name: example-sa
  namespace: default
roleRef:
  kind: ClusterRole
  name: example-cluster-role
  apiGroup: rbac.authorization.k8s.io

保存为`cluster-role-binding.yaml`，执行`kubectl create -f cluster-role-binding.yaml`即可。

验证测试：确认权限生效

配置完成后，需验证权限是否按预期生效。创建一个使用`example-sa`的测试Pod，配置如下：

apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  serviceAccountName: example-sa  # 指定服务账户
  containers:
  - name: test-container
    image: busybox  # 轻量级镜像
    command: ["sleep", "3600"]  # 保持Pod运行

保存为`test-pod.yaml`，执行`kubectl create -f test-pod.yaml`启动Pod。
进入Pod内部，尝试执行`kubectl get pods`命令：

kubectl exec -it test-pod -- kubectl get pods

若能成功列出Pod信息，说明权限配置生效；若提示“未授权”，则需检查Role规则或绑定步骤是否有误。

在云服务器上管理K8s集群时，通过RBAC机制灵活配置API调用权限，既能避免越权操作引发的安全风险，也能满足不同业务场景的精细化管理需求。实际应用中，可根据需求调整`verbs`（如增加`create`、`delete`）或`resources`（如扩展至`services`、`deployments`），实现更复杂的权限控制。