nginx-pod-cm-tz printenv #查看pod里的环境变量 ③创建Secret secret资源是区分命名空间的 ★命令行方式创建secret 创建账号密码验证secret # kubectl create secret generic database-auth --from-literal=username=root --from- liter 5 22:20 tls.key -> ..data/tls.key ⑤创建imagePullSecret imagePullSecret资源保存了docker-registry的账号密码等信息，可在pod下载镜像 时使用 命令行方式创建： # kubectl create secret docker-registry mylocal-registry1 --docker-server=cof- ④创建imagePullSecret ★第11章、RBAC权限配置 k8s的账号有2类，UserAccount用户账号和ServiceAccount服务账号。 k8s中不直接保存 UserAccount用户账号，在k8s系统里看不到，服务账号需要绑 定一个命名空间。 ServiceAccount服务账号是让pod内的容器进程访问其他服务时提供身份认证信 息的账户。每个pod都只有一个服

存储平台 Think in Cloud . 北北京 基于RBAC实现 账号管理理隔离 01 IPv6 02 Operator管理理有 状态的服务 03 监控 04 Think in Cloud . 北北京 • K8S提供了了多种身份认证策略略，具体如何实施？ • K8S的有两种⽤用户：服务账号(SA)和普通⽤用户(User)，但K8S不不会管理理User，如何管理理User？ 对于多集群，如何实现User跨集群的管理理？ 基于RBAC实现账号管理理隔离 Think in Cloud . 北北京 基于RBAC实现账号管理理隔离 • 选择Token认证⽅方式 • 通过服务账号SA模拟普通⽤用户User，即User与SA⼀一⼀一对应 • 所有模拟账号SA放置同⼀一个NS，统⼀一管理理 • 定制权限组ClusterRole • 通过授予模拟账号SA的不不同权限组，来控制不不同User在NS中的不不同权限 Kubertnetes集群 ⽤用户管理理 ⽤用户：U1、U2 Think in Cloud . 北北京 基于RBAC实现账号管理理隔离 • 抽象Project对象给User使⽤用 • Project与每个集群的NS⼀一⼀一对应 • User在每个集群上都有对应模拟账号，⽤用于NS授权 NS ServiceAccount：SS Kubertnetes集群 NS: PP Kubertnetes集群

2. 产品架构 Alauda Kubernetes (AKS) 主要由 Alauda Kubernetes Engine (AKE) 、系统运维管理（管 理平台、监控、日志）、权限管理、账号体系管理等多个业务模块组成，可以根据用户使用 场景提供最佳网络、存储技术及解决方案。产品本身更好的发挥了 Kubernetes 产品特性， 让开发者更关注业务本身，让整个平台可以像管理产品一样管理应用，更好的提高资源利用 及使用帮助 ² 权限管理 将用户划分成角色组，将权限赋予角色，角色赋予人，配合 Kubernetes 本身支持的细 粒度权限管理体系，让权限管理不再复杂。 ² 账号体系管理 无缝集成企业内部账号体系，支持对接 LDAP、OAuth 2.0、OIDC、SAML 等协议的企 业内部用户系统，满足企业内部分公司、部门等多级管理方式的需求，实现统一登录与 权限管理。 ²

oxyIP 为上步创建的负责均衡服务的 IP，nodePort为设 置的30080 选择语⾔ 5. 访问 WordPress 82 填写必要信息（账号密码⽤于后续登录WordPress） 设置完成 83 输⼊之前设置的登录账号和密码，点击登录 成功进⼊WordPress⻚⾯ 84 创建 StorageClass 创建命令 1 $ kubectl create -f sc

Manager控制管理器（kube-controller-manager）：k8s里所有资源对象的自动化控制中心，可以理解为 资源对象的“大总管”。运行着所有处理集群日常任务的控制器。包括节点控制器、副本控制器、端点控制器及服务账号 和令牌控制器。负责维护集群的状态，比如故障检测、自动扩展、滚动更新等。 Scheduler调度器（kube-scheduler）：负责资源调度（Pod调度）的进程，相当于“调度室”。按照预定的调度策略