Role 和 ClusterRole

liazei33

RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的（不存在拒绝某操作的规则）, Role 总是用来在某个命名空间内设置访问权限； 在你创建 Role 时，你必须指定该 Role 所属的命名空间。与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole） 是因为 Kubernetes 对象要么是命名空间作用域的，要么是集群作用域的，不可两者兼具。
role示例
  下面是一个位于 "default" 名字空间的 Role 的示例，可用来授予对 pods 的读访问权限：

ClusterRole示例：ClusterRole 可以和 Role 相同完成授权。 因为 ClusterRole 属于集群范围，所以它也可以为以下资源授予访问权限：
集群范围资源（比如节点（Node））
跨命名空间访问的命名空间作用域的资源（如 Pod）
  比如，你可以使用 ClusterRole 来允许某特定用户执行 kubectl get pods --all-namespaces
  下面是一个 ClusterRole 的示例，可用来为任一特定命名空间中的 Secret 授予读访问权限， 或者跨命名空间的访问权限（取决于该角色是如何绑定的）：

  角色绑定（Role Binding）是将角色中定义的权限赋予一个或者一组用户。 它包含若干 主体（用户、组或服务账户）的列表和对这些主体所获得的角色的引用。 RoleBinding 在指定的命名空间中执行授权，而 ClusterRoleBinding 在集群范围执行授权。
  一个 RoleBinding 可以引用同一的命名空间中的任何 Role。 或者，一个 RoleBinding 可以引用某 ClusterRole 并将该 ClusterRole 绑定到 RoleBinding 所在的命名空间。 如果你希望将某 ClusterRole 绑定到集群中所有命名空间，你要使用 ClusterRoleBinding。