RBAC و ServiceAccounts

ما هو RBAC؟

RBAC يعني Role-Based Access Control. وظيفته تحديد:

• من يستطيع الوصول؟
• إلى أي موارد؟
• ما العمليات المسموحة؟

الموارد الأساسية

المورد	معناه
ServiceAccount	هوية يستخدمها Pod
Role	صلاحيات داخل Namespace
ClusterRole	صلاحيات على مستوى Cluster
RoleBinding	ربط Role بهوية
ClusterRoleBinding	ربط ClusterRole بهوية

الفكرة ببساطة

ServiceAccount هو “هوية التطبيق” داخل Kubernetes. لا تجعل كل التطبيقات تستخدم صلاحيات admin.

Role للقراءة فقط

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-reader
rules:
  - apiGroups: [""]
    resources: ["pods"]
    verbs: ["get", "list", "watch"]

RoleBinding

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: read-pods
subjects:
  - kind: ServiceAccount
    name: app
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

اختبار الصلاحيات

kubectl auth can-i list pods --as=system:serviceaccount:default:app
kubectl auth can-i delete pods --as=system:serviceaccount:default:app

Lab: ServiceAccount محدود

المستوى: مبتدئ الوقت: 35 دقيقة الأدوات: kubectl

الهدف: إنشاء ServiceAccount يستطيع قراءة Pods فقط.

أنشئ ServiceAccount و Role و RoleBinding، ثم استخدم kubectl auth can-i لاختبار الصلاحيات.

اختبر فهمك

ما الفرق بين Role و ClusterRole؟

إظهار الإجابة

Role يعطي صلاحيات داخل Namespace، أما ClusterRole فيمكن استخدامه لصلاحيات على مستوى Cluster أو موارد غير مرتبطة بـ Namespace.