Control de acceso basado en funciones (RBAC) de Kubernetes

El control de acceso basado en funciones (RBAC) de Kubernetes es un tipo de gestión de identidades y acceso (IAM) que involucra una serie de permisos o plantillas que determinan quién (sujetos) puede realizar qué (verbos) y en qué parte (espacios de nombres). El RBAC es una evolución del control de acceso basado en atributos (ABAC) tradicional, que permite el acceso en función del nombre del usuario y no de sus responsabilidades.

Kubernetes (también conocida como k8s o kube) es una plataforma open source para la organización de contenedores que automatiza muchos de los procesos manuales involucrados en la implementación, la gestión y el ajuste de las aplicaciones que se alojan en ellos. 

Los contenedores de Linux, que se administran con Kubernetes, ofrecen a las aplicaciones basadas en microservicios tanto una unidad para implementarlas como un entorno autónomo para ejecutarlas que resultan ideales. Además, como las implementaciones de Kubernetes están escritas en YAML, las personas pueden comprender el código.

Las funciones conceden distintos niveles de acceso a los pods y los nodos, y pueden tener autorización para acceder a un grupo específico de clústeres que trabajan juntos en forma de carga de trabajo de una aplicación (funciones) o a clústeres completos (funciones del clúster).

• Las funciones permiten acceder a los grupos de clústeres vinculados virtualmente que se conocen como espacios de nombres. Dichas funciones son recursos con espacios de nombres porque lo que determina el acceso del usuario a una carga de trabajo son los clústeres que se incluyen en el espacio de nombre específico. Los enlaces de funciones se utilizan para consolidar los usuarios, los grupos de usuarios o los nombres de las cuentas de servicio en una sola función.
• Las funciones del clúster, las cuales abarcan varios espacios de nombres permiten acceder a clústeres completos, que son grupos de nodos de hardware individuales. Los enlaces de funciones del clúster asocian una función a cada espacio de nombres. Por ejemplo, el nombre de la función de administrador tiene acceso ilimitado a todos los clústeres.

Es posible usar los metadatos para combinar y apilar los enlaces y los permisos de las funciones del clúster. Esto concede las autorizaciones definidas en una función del clúster a los recursos que se encuentran en el espacio de nombres del enlace de funciones, lo cual ayuda a definir las que son comunes a todo un clúster, que pueden reutilizarse en varios espacios de nombres.

La interfaz de programación de aplicaciones (API) de Kubernetes es el frontend del plano de control de este sistema. La API de Kubernetes comunica las interacciones con una computadora o un sistema con el fin de recuperar información o realizar una función. 

El RBAC de Kubernetes recopila las solicitudes de funciones relacionadas en grupos de API, que se comunican con los servidores de API cuando se conectan ciertas funciones a los extremos de la API.

Para obtener más información sobre cómo usar el RBAC de Kubernetes, lo cual incluye la documentación de Kubernetes, la autenticación rbac.authorization.k8s.io, la herramienta de línea de comandos kubectl, los complementos, el arranque de TLS con kubelet y la configuración de políticas de red, visite la documentación sobre RBAC del proyecto open source.

Red Hat fue una de las primeras empresas en trabajar con el creador de Kubernetes (Google) en el proyecto, incluso antes de su lanzamiento. Desde entonces, se ha convertido en el segundo colaborador más importante del proyecto de Kubernetes upstream y en uno de los primeros en comercializar una plataforma de Kubernetes para empresas. 

Red Hat® OpenShift® es Kubernetes para las empresas e incluye todas las tecnologías adicionales que la convierten en una plataforma más potente y viable, entre las que se encuentran las redes, la autenticación, la supervisión, la seguridad y la automatización. 

A diferencia de otras plataformas de proveedores que requieren elementos propietarios y procesos complejos, Red Hat OpenShift es única y está integrada para los equipos de desarrollo y de operaciones; además, valida los complementos populares de almacenamiento y redes para Kubernetes e incluye soluciones integradas de supervisión, registro y análisis.