[CKA]考试之基于角色的访问控制-RBAC

由于最新的CKA考试改版,不允许存储书签,本博客致力怎么一步步从官网把答案找到,如何修改把题做对,下面开始我们的 CKA之旅

题目为:

Context:

为部署流水线创建一个新的ClusterRole并将其绑定到范围为特定的 namespace 的特定ServiceAccount。

Task

创建一个名为deployment-clusterrole的clusterrole,该clusterrole只允许对Deployment、Daemonset、Statefulset具有create权限,在现有的 namespace app-team1中创建一个名为cicd-token的新 ServiceAccount。

限于 namespace app-team1中,将新的ClusterRole deployment-clusterrole绑定到新的 ServiceAccount cicd-token。

注意,如果题目要求先切换K8S环境,需执行K8S切换环境

分析做题步骤

1、打开官网(真实考试需要在官网的搜索界面搜索关键词  RBAC即可 )

https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/rbac/

2、我们先创建一个名为deployment-clusterrole的clusterrole,该clusterrole只允许对Deployment、Daemonset、Statefulset具有create权限

在官网找到如下内容

[CKA]考试之基于角色的访问控制-RBAC_第1张图片

修改相关内容,红色分别对应上面的信息,注意大小写

kubectl create clusterrole deployment-clusterrole --verb=create --resource=deployment,daemonset,statefulset

3、接下来在 namespace app-team1中创建一个名为cicd-token的新 ServiceAccount

继续往下拉官网,找到如下内容

[CKA]考试之基于角色的访问控制-RBAC_第2张图片

 修改相关执行语句如下:需修改红色部分

kubectl create serviceaccount cicd-token -n app-team1

4、最后操作在namespace app-team1中,将新的ClusterRole deployment-clusterrole绑定到新的 ServiceAccount cicd-token。

上拉官网,找到如下内容,注意是rolebinding而不是clusterrolebinding

[CKA]考试之基于角色的访问控制-RBAC_第3张图片

 修改相关执行语句如下:需修改红色部分,黄色部分题目中没提及,自己起一个就行,如果题目中提及,需要修改为题目要求的名字

 kubectl create rolebinding myappnamespace-my-binding --clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token --namespace=app-team1

5、排查是否做对,红色部分为上面用户定义的rolebinding名称及所在的namespace名称

kubectl describe rolebinding myappnamespace-my-binding -n app-team1

执行如下语句

[CKA]考试之基于角色的访问控制-RBAC_第4张图片

你可能感兴趣的:(CKA,kubernetes,云原生,CKA)