M Sections/2.Backgrounds.tex => Sections/2.Backgrounds.tex +1 -1
@@ 62,7 62,7 @@ OpenID Connect (OIDC)\cite{oidc} 則是一個基於 OAuth 框架衍生的身份
\subsection{Kubernetes 存取控制}
-Kubernetes 主要透過兩個機制達成使用者的存取控制,其一是 RBAC (Role-based access control)。RBAC 可以根據 resources 的種類、所在的 Namespace 或是特定的 resource 實例授予使用者對其進行各種操作的權力,包含創立、刪除、更新、獲取、列舉等,不同類型的操作可以分別授予。
+Kubernetes 主要透過兩個機制達成使用者的存取控制,其一是 RBAC (Role-based access control)。RBAC 可以根據 resources 的種類、所在的 Namespace 或是特定的 resource 實例授予使用者對其進行各種操作的權力,包含創立、刪除、更新、獲取、列舉等,不同類型的操作可以分別授予\cite{rostami2023role}。
另一個機制為 admission control,在 RBAC 後執行,可以根據被創立或更新的 resource 內容進行管控。實做控制邏輯的 admission controllers 主要又分為 mutating 與 validating 兩種。Mutating admission controllers 可以修改 resources 內容,常用於對 resource \verb|spec| 中的特定欄位賦予預設值。以 mutating admission controllers 賦予預設值的方法,比起在實做 resources 的 controller 定義預設行為,以使用者的角度更為明確,使用者可以觀察最終儲存的 resource 內容得知其行為,對於平台提供者,透過這個機制實做平台特定的預設值也更為方便。Validating admission controllers 則無法修改 resources 內容,只能做出允許或拒絕操作的決策,為了能夠驗證修改後的 resources 內容,編排在 mutating admission controllers 後執行,常用於執行特定設定上的管制政策。由於 Kubernetes 功能上的廣泛,不適合將每個功能都規劃成獨立的 resource 種類,用 RBAC 針對 resource 種類進行存取控制有時會顯得不足,admission control 便補足了這方面的彈性。
M ref.bib => ref.bib +11 -0
@@ 228,3 228,14 @@
year = {2021},
organization = {IEEE},
}
+
+@article{rostami2023role,
+ title = {Role-Based Access Control {(RBAC)} Authorization in {Kubernetes}},
+ author = {Rostami, Garsha},
+ journal = {Journal of ICT Standardization},
+ volume = {11},
+ number = {3},
+ pages = {237--260},
+ year = {2023},
+ publisher = {River Publishers},
+}