【Kubernetes知识点】资源配额与访问控制

目录

1.解释ResourceQuota的作用。

2.解释Service Account的用途。

3.详细解释Role和ClusterRole。

4.什么是K8s的NetworkPolicy？

5.详细描述在K8s中如何控制跨Namespace的Pod访问？

---

1.解释ResourceQuota的作用。

ResourceQuota（资源配额） 是一项核心的资源管控机制，用于限制命名空间（Namespace）内的资源使用总量，防止个别应用或团队过度占用集群资源，保障集群资源的公平分配和高效利用。

---

2.解释Service Account的用途。

Service Account（服务账户） 是用于标识和认证集群内运行的 Pod 或进程 的身份凭证，主要用于解决 Pod 与 Kubernetes API 服务器之间的身份认证问题，以及控制 Pod 对集群资源的访问权限。

---

3.详细解释Role和ClusterRole。

Role 和 ClusterRole 是 RBAC（基于角色的访问控制）体系的核心组件，用于定义对集群资源的操作权限（如查看、创建、删除等）。

Role 是仅在单个命名空间（Namespace）内有效的权限集合

ClusterRole 是集群范围有效的权限集合，可定义对集群级资源、跨命名空间资源或所有命名空间资源的操作权限。

---

4.什么是K8s的NetworkPolicy？

NetworkPolicy（网络策略） 是用于控制 Pod 之间、Pod 与外部网络之间通信的规则集合，类似于 “网络防火墙”，通过定义流量允许 / 拒绝规则，实现对集群内部网络通信的精细化管控，提升集群网络安全性。

---

5.详细描述在K8s中如何控制跨Namespace的Pod访问？

在 Kubernetes 中，控制跨 Namespace 的 Pod 访问主要通过 NetworkPolicy（网络策略） 实现，结合命名空间标签选择器（namespaceSelector）和 Pod 标签选择器（podSelector），可以精确限制不同命名空间中 Pod 之间的通信。