Kubernetes CSI 存储端到端多租户隔离

Kubernetes 里对一些资源的引用限制是比较弱的,比如 Pod 里可以使用 Secret 与 ConfigMap、PVC 里可以使用 StorageClass。想对这种情况进行限制,必须通过额外的手段来做。

Kubernetes 权限控制

权限控制离不开用户管理系统、认证和授权,下面就简单讲一下这三个概念。

用户管理系统,一般存放着用户的相关信息,最主要的有用户名、用户密码和用户组。

认证(Authentication, AuthN)主要是验证用户的合法性,比如用户名和密码正确即认证成功。

授权(Authorization, AuthZ)主要是验证用户是否有权限来做某事,通常可以给单个用户某些权限,也可以给用户组某些权限,在该用户组里的用户会继承这些权限。

Kubernetes 里的权限控制有三种方式,分别是 RBAC, ABAC, Webhook。

Kubernetes 认证系统

之前做 Kubernetes 平台时研究过 Kubernetes Authentication,并且写了个 PoC 项目 Taishan,包含一个用户管理系统 taishan-keystone,一个 OIDC 的 Web/CLI 客户端。

远东华人消亡史

7月1日是海参崴建城160周年纪念日(实际割让时间是1860年11月),也意味着乌苏里江以东的土地已经脱离中国160年。但是,这片土地上的华人并没有随着领土的割让而消失,直到1938年被苏联用各种手段消灭。这篇文章将介绍,我在海参崴寻找华人在这片土地的生活遗迹的经历。

骑行

时隔十年,准备重新拾起曾经的骑行爱好。

电子邮箱的那些事

我刚接触互联网的时候正是博客流行的时候,当时看到很多人是独立域名博客,后来发现还有独立域名邮箱,当时是非常羡慕,我自己也弄了一些域名和邮箱。折腾来折腾去,一直没有将常用邮箱设置成独立域名邮箱。

闲言碎语-2021

2021 年到来了,话说时间确实快,不敢想象,敬畏时间,多做有意义的事情。

突然有感发发的碎碎念

昨天晚上有一点点失眠,在一个群里看到大家都在聊生活,我也就随口说了几句自己生活单调。

SSH Key 的一点小知识

最近在写一个生成和查看 TLS 证书的工具,对加密和证书这块有了更深的认识。