Kubernetes RBAC 内置集群角色ClusterRole

已于 2022-11-12 16:43:38 修改
阅读量3.3k 收藏 4
点赞数 2
分类专栏: Kubernetes 安全 Kubernetes APIServer 文章标签: kubernetes
于 2021-08-05 20:35:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/119413202
版权

Kubemetes提供了 一组默认的ClusterRole和ClusterRoleBinding, 每次API服务器启动时都会更新它们。这保证了在你错误地删除角色和绑定,或者Kubernetes的新版本使用了不同的集群角色和绑定配置时, 所有的默认角色和绑定都会被重新创建。
view、 edit、 admin和cluster-adrnin ClusterRole是最重要的角色, 它们应该绑定到用户定义pod中的ServiceAccount上。
默认的ClusterRole列表包含了大量其他的ClusterRole,它们以syst em: 为前缀。 这些角色用于各种Kubemetes组件中 。 在它们之中 , 可以找到如system:kube-scheduler之类的角色, 它明显是 给调度器使用的, system:node是给Kubelets组件使用的,等等。

虽然Controller Manager作为一个独立的

pod来运行 , 但是在其中运行的每个控制器都可以使用单独的ClusterRole和ClusterRoleBinding (它们以system:Controller: 为前缀)。

这些系统的每个ClusterRole都有 个匹配的ClusterRoleBinding,它会绑定到系统组件用来身份认证的用户上。 例如, system:kube-scheduler ClusterRoleBinding将名称相同的ClusterRole分配给 system:kube-scheduler用户, 它是调度器作为身份认证的用户名。

 

 

k8s 内置的集群角色 system

k8s为了让用户使用某些特定的权限,给大家预留了四个集群角色,这个是可以是直接使用的。

以system开头的都是k8s内置的 ,不要随便删除,删除了可能导致集群功能不正常。

[root@k8s-master ~]# kubectl get clusterrole
NAME                                                                   CREATED AT
system:aggregate-to-admin                                              2020-11-15T06:56:58Z
system:aggregate-to-edit                                               2020-11-15T06:56:58Z
system:aggregate-to-view                                               2020-11-15T06:56:58Z
system:aggregated-metrics-reader                                       2020-11-17T17:05:55Z
system:auth-delegator                                                  2020-11-15T06:56:58Z
system:basic-user                                                      2020-11-15T06:56:58Z
system:certificates.k8s.io:certificatesigningrequests:nodeclient       2020-11-15T06:56:58Z
system:certificates.k8s.io:certificatesigningrequests:selfnodeclient   2020-11-15T06:56:58Z
system:certificates.k8s.io:kube-apiserver-client-approver              2020-11-15T06:56:59Z
system:certificates.k8s.io:kube-apiserver-client-kubelet-approver      2020-11-15T06:56:59Z
system:certificates.k8s.io:kubelet-serving-approver                    2020-11-15T06:56:58Z
system:certificates.k8s.io:legacy-unknown-approver                     2020-11-15T06:56:58Z
system:controller:attachdetach-controller                              2020-11-15T06:56:59Z
system:controller:certificate-controller                               2020-11-15T06:56:59Z
system:controller:clusterrole-aggregation-controller                   2020-11-15T06:56:59Z
system:controller:cronjob-controller                                   2020-11-15T06:56:59Z
system:controller:daemon-set-controller                                2020-11-15T06:56:59Z
system:controller:deployment-controller                                2020-11-15T06:56:59Z
system:controller:disruption-controller                                2020-11-15T06:56:59Z
system:controller:endpoint-controller                                  2020-11-15T06:56:59Z
system:controller:endpointslice-controller                             2020-11-15T06:56:59Z
system:controller:endpointslicemirroring-controller                    2020-11-15T06:56:59Z
system:controller:expand-controller                                    2020-11-15T06:56:59Z
system:controller:generic-garbage-collector                            2020-11-15T06:56:59Z
system:controller:horizontal-pod-autoscaler                            2020-11-15T06:56:59Z
system:controller:job-controller                                       2020-11-15T06:56:59Z
system:controller:namespace-controller                                 2020-11-15T06:56:59Z
system:controller:node-controller                                      2020-11-15T06:56:59Z
system:controller:persistent-volume-binder                             2020-11-15T06:56:59Z
system:controller:pod-garbage-collector                                2020-11-15T06:56:59Z
system:controller:pv-protection-controller                             2020-11-15T06:56:59Z
system:controller:pvc-protection-controller                            2020-11-15T06:56:59Z
system:controller:replicaset-controller                                2020-11-15T06:56:59Z
system:controller:replication-controller                               2020-11-15T06:56:59Z
system:controller:resourcequota-controller                             2020-11-15T06:56:59Z
system:controller:route-controller                                     2020-11-15T06:56:59Z
system:controller:service-account-controller                           2020-11-15T06:56:59Z
system:controller:service-controller                                   2020-11-15T06:56:59Z
system:controller:statefulset-controller                               2020-11-15T06:56:59Z
system:controller:ttl-controller                                       2020-11-15T06:56:59Z
system:coredns                                                         2020-11-15T06:57:02Z
system:discovery                                                       2020-11-15T06:56:58Z
system:heapster                                                        2020-11-15T06:56:58Z
system:kube-aggregator                                                 2020-11-15T06:56:58Z
system:kube-controller-manager                                         2020-11-15T06:56:58Z
system:kube-dns                                                        2020-11-15T06:56:58Z
system:kube-scheduler                                                  2020-11-15T06:56:59Z
system:kubelet-api-admin                                               2020-11-15T06:56:58Z
system:metrics-server                                                  2020-11-17T17:05:55Z
system:node                                                            2020-11-15T06:56:58Z
system:node-bootstrapper                                               2020-11-15T06:56:58Z
system:node-problem-detector                                           2020-11-15T06:56:58Z
system:node-proxier                                                    2020-11-15T06:56:59Z
system:persistent-volume-provisioner                                   2020-11-15T06:56:58Z
system:public-info-viewer                                              2020-11-15T06:56:58Z
system:volume-scheduler                                                2020-11-15T06:56:58Z

k8s预定好了四个集群角色供用户使用,使用kubectl get clusterrole查看,其中systemd:开头的为系统内部使用。(以system开头的是绝对不能删除的,删除了可能导致集群异常)

 

k8s 组件的集群角色 

除了system开头的,还有搭建组件自己创建的集群角色,也是用来访问api的,比如calico

[root@k8s-master ~]# kubectl get clusterrole
NAME                                                                   CREATED AT
calico-kube-controllers                                                2020-11-15T08:13:24Z
calico-node                                                            2020-11-15T08:13:24Z
cluster-admin                                                          2020-11-15T06:56:58Z

 

k8s 内置集群角色 cluster-admin admin edit view

  • cluster-admin  超级管理员,对集群所有权限,和linux下面root一样(在部署dashboard的时候,先创建sa,然后将sa绑定到角色cluster-admin,最后获取到token,这就使用了内置的cluster-admin )
  • admin   主要用于授权命名空间所有读写权限(针对于某个命名空间)
  • edit   允许对命名空间大多数对象读写操作,不允许查看或者修改角色、角色绑定。
  • view 允许对命名空间大多数对象只读权限,不允许查看角色、角色绑定和Secret
view ClusterRole 允许对资源的只读访问
在前面的例子中, 我们已经使用了默认的view ClusterRole。 它允许读取 一个 命名空间中的大多数资源, 除了Role、 RoleBinding和 Secret。 你可能会想为什么Secrets不能被读取?因为Secrets中的某一个可能包含一个认证token,它比定义在view ClusterRole中的资源有更大的权限 , 并且允许用户伪装成不同的用户来获取 额外的权限(权限扩散)。

edit ClusterRole允许对资源的修改
接下来是edit ClusterRole, 它允许你修改一 个命名空间中的资源,同时允许读取和修改Secret。
但是, 它也不允许查看或修改Role和 RoleBinding, 这是为了防止权限扩散。
admin ClusterRole赋予个命名空间全部的控制权
个命名空间中的资源的完全控制权是由admin ClusterRole赋予的。 有这个ClusterRole的主体可以读取和修改命名空间中的任何资源, 除了ResourceQuota 和命名空间资源本身。 edit和admin ClusterRole 之间的主要区别是能否在命名空间中查看和修改Role和RoleBinding。
注意为了防止权限扩散, API服务器只允许用户在已经拥有一个角色中列出的所有权限(以及相同范围内的所有权限)的 况下, 创建和更新这个角色

用cluster-adminClusterRole得到完全的控制

通过将cluster-adminClusterRole赋给主体, 主体可以获得Kubernetes 集群完全控制的权限。 正如你前面了解的那样, adminClusterRole不允许用户修改命名空间的 ResourceQuota对象或者命名空间资源本身。
如果你想允许用户这样做, 需要创建一 个指向cluster-adminClusterRole的 RoleBinding。 这使得RoleBinding 中包含的用户 能够完全控制创建RoleBinding所在命名空间上的所有方面 。
如果你留心观察, 可能已经知道如何授予用户一个集群中所有命名空间的完全控制权 。 就是通过在ClusterRoleBinding而不是RoleBinding中引用cluster admin ClusterRole。

内置角色是可以直接使用的,这样方便授权。

部署 Dashboard

[root@k8s-master ~]# wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.3/aio/deploy/recommended.yaml

修改,只需要添加一行 

spec:
  ports:
    - port: 443
      targetPort: 8443
  selector:
    k8s-app: kubernetes-dashboard
  type: NodePort   加上这一行就行了
[root@k8s-master ~]# kubectl apply -f recommended.yaml 

[root@k8s-master ~]# kubectl get pod -n kubernetes-dashboard
NAME                                         READY   STATUS    RESTARTS   AGE
dashboard-metrics-scraper-7b59f7d4df-5tzgb   1/1     Running   2          263d
kubernetes-dashboard-5dbf55bd9d-tgt7b        1/1     Running   6          263d
[root@k8s-master ~]# kubectl get svc -n kubernetes-dashboard
NAME                        TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)         AGE
dashboard-metrics-scraper   ClusterIP   10.108.138.194   <none>        8000/TCP        263d
kubernetes-dashboard        NodePort    10.106.187.194   <none>        443:31383/TCP   263d

这里暴露的是443表示使用https访问,对外暴露端口是31383

这里使用token来认证,创建service account并绑定默认cluster-admin管理员集群角色:

[root@k8s-master ~]#  kubectl create serviceaccount dashboard-admin -n kube-system
serviceaccount/dashboard-admin created

 用户授权 

[root@k8s-master ~]# kubectl create clusterrolebinding dashboard-admin --clusterrole=cluster-admin --serviceaccount=kube-system:dashboard-admin
clusterrolebinding.rbac.authorization.k8s.io/dashboard-admin created
[root@k8s-master ~]# kubectl -n kube-system get secret | grep dashboard-admin
dashboard-admin-token-spfnp                      kubernetes.io/service-account-token   3      263d

[root@k8s-master ~]# kubectl -n kube-system get secret | grep dashboard-admin | awk '{print $1}'
dashboard-admin-token-spfnp

[root@k8s-master ~]# kubectl describe secret dashboard-admin-token-spfnp -n kube-system
Name:         dashboard-admin-token-spfnp
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name: dashboard-admin
              kubernetes.io/service-account.uid: 8e757c86-13af-47fa-8d69-a4d0805d0152

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1066 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6InR0cTRHNDNQUGFMeUZ5Rnp1azZnSUEyRVU0WEY1dWdEMEYwd056ZnNkWWcifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJrdWJlLXN5c3RlbSIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VjcmV0Lm5hbWUiOiJkYXNoYm9hcmQtYWRtaW4tdG9rZW4tc3BmbnAiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiZGFzaGJvYXJkLWFkbWluIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiOGU3NTdjODYtMTNhZi00N2ZhLThkNjktYTRkMDgwNWQwMTUyIiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50Omt1YmUtc3lzdGVtOmRhc2hib2FyZC1hZG1pbiJ9.zbOZ4-5UKqllErK1HLZ75srq6zeBzWWNtmz5LTIS0HES-Ih-HZbyGRJxqoW7-T692DW2J-LvRIZH-RrCw-V-wWT435KR-fku6X6YR6tTSzaUIYB3eh3UDjrgQlHriy1M752YwoCpXBi0k3sHAvzGPDJFupeihum2Dr3ZCvUqtpKeSx9zEoWEXWKyVyux4Wr7zbDYWGT-fe2DEAikosKt_70xPM3igexUT67ljH7DdITWzdcEFqB78NVfWGzSlLX6zddvQu2O17NLL_ea-yaxcv6rSMyYgYShRoPwmY55HHsP81dWuoIosBKml-TYbXAQXIcruKvU0vRS71KzN9yAyQ

使用输出的token登录Dashboard。

 

 

了解其他默认的ClusterRole

默认的ClusterRole列表包含了大量其他的ClusterRole, 它们以system:为前缀。 这些角色用于各种Kubemetes组件中 。在它们之中 , 可以找到如system:kube-scheduler之类的角色, 它明显是给调度器使用的,system:node是给Kubelets组件使用的, 等等。

虽然Controller Manager作为一 个独立的pod来运行 , 但是在其中运行的每个控制器都可以使用单独的ClusterRole和ClusterRoleBinding (它们以system:Controller: 为前缀)。

这些系统的每个ClusterRole都有 一个匹配的ClusterRoleBinding,它会绑定到系统组件用来身份 认证的用户上。 例如, system:kube-scheduler ClusterRoleBinding将名称相同的ClusterRole分配给 system:kube-scheduler用户, 它是调度器作为身份认证的用户名。
 


 

理性地授予授权权限

在默认情况下, 命名空间中的默认ServiceAccount除了未经身份验证的用户没有其他权限(你可能记得前面的示例之一, system:discovery ClusterRole和相关联的绑定允许任何人对一些非资源型的URL发送GET请求)。

因此,在默认情况下,pod甚至不能查看集群状态。 应该授予它们适当的权限来做这些操作。
显然, 将所有的ServiceAccounts赋予cluster-admin ClusterRole是一个坏主意。 和安全问题一 样, 我们最好只给每个人提供他们工作所需要的权限, 一个单独权限也不能多(最小权限原则)。

为每个 pod 创建特定的 ServiceAccount

一 个好的想法是为每一个pod(或一组pod的副本)创建一个特定ServiceAccount, 并且把它和一个定制的Role (或ClusterRole)通过RoleBinding联系起来(不是ClusterRoleBinding, 因为这样做会给其他命名空间的pod对资源的访问权限 , 这可能不是你想要的)

如果你的一个pod(应用程序在它内部运行)只需要读取pod,而其他的pod也需要修改它们,然后创建两个不同的ServiceAccount,并且让这些pod通过指定在pod spec中的serviceAccountName属性来进行使用,不要将这两个pod所需的所有必要权限添加到命名空间中的默认ServiceAccount上。

假设你的应用会被入侵

你的目标是减少入侵者获得集群控制的可能性 。 现在复杂的应用程序会包含很多的漏洞, 你应该期望不必要的用户最终获得ServiceAccount的身份认证token。 因此你应该始终限ServiceAccount, 以防止它们造成任何实际的伤害。

富士康质检员张全蛋
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s权限配置(ServiceAccount、RoleClusterRole
lihongbao80的专栏
09-12 2万+
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源: Pods PV ConfigMaps Deployments Nodes Secrets Namespaces 资源与api group关联(如pods属于core api group,deployments属于apps api group)。 在RBAC中的几个概念: Rules:规定一组可以在不同api group上的资源执行的规则(verbs) Role与Clus
Kubernetes详解(五十三)——Kubernetes Role创建和Rolebinding
永远是少年
05-10 2824
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes Role创建 二、Kubernetes Rolebinding 三、效果展示
k8s之聚合ClusterRole
jiayu的博客
10-14 1866
k8s之聚合ClusterRole [root@k8s-master-1 kubectl]# cat aggregation.yaml # 创建一个聚合ClusterRole apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: aggregation-selector aggregationRule: clusterRoleSelectors: - matchLabels: rbac.
k8s:UserAccount、ServiceAccount、RoleClusterRole
最新发布
weixin_50606361的博客
09-07 988
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
Kubernetes】k8s的安全管理详细说明【role赋权和clusterrole赋权详细配置说明】
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-06 4892
文章目录环境准备token验证&&kubeconfig验证授权了解authorization-mode授权模式AlwaysAllow&&AlwaysDenyRBAC模式说明【重要】查看admin权限基本概念原理role测试说明创建一个role排错处理了解sa安装dashboard资源限制 环境准备 首先需要有一套完整的集群 [root@master ~]# kubectl get nodes -o wide NAME STATUS ROLES AGE
kubectl-rolesum:总结指定主题的Kubernetes RBAC角色
02-03
总结指定主题(ServiceAccount,用户和组)的RBAC角色。 安装 krew 是k8s插件的软件包管理器。 请参阅以获取更多详细信息。 kubectl krew install rolesum 自制软件(适用于MacOS) Roleum支持 :beer_mug: brew...
rbac.dev:Kubernetes RBAC的良好实践和工具的集合
05-10
一个专门针对Kubernetes RBAC的良好实践和工具的网站。 拉请求和问题都欢迎。 有关RBAC的食谱,技巧和窍门,请参阅 。...作者EmreSavcı Eviatar Gerzi消除风险性RBAC许可,从而保护Kubernetes集群利用
krane:Kubernetes RBAC静态分析和可视化工具
02-03
作为一项独立服务,可以持续分析Kubernetes集群RBAC的状态。 报告-Krane以机器可读的格式生成易于理解的RBAC风险报告。 仪表板-Krane带有一个简单的仪表板UI,可帮助您了解集群RBAC设计。 仪表板概述了RBAC的...
rbac-tool:Kubernetes RBAC Power Toys - 可视化、生成和查询
05-30
Kubernetes RBAC 基于角色的访问控制 (RBAC) 是一种根据组织内单个用户的角色来调节对计算机或网络资源的访问的方法。 RBAC 授权使用rbac.... 如果要在集群范围内定义角色,请使用 ClusterRolerbac-too
rbacsync:自动将组同步到Kubernetes RBAC
02-03
该项目提供了一个Kubernetes控制器,用于使用合并的配置对象从组成员身份源同步Kubernetes 使用的RoleBindings和ClusterRoleBindings。 提供的配置对象使您可以定义“虚拟”组,从而创建直接引用组中所有用户的...
Kubernetes详解(五十五)——ClusterRole与RoleBinding
永远是少年
05-11 2565
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes ClusterRole创建和Rolebinding。 一、Kubernetes ClusterRole创建 二、Kubernetes Rolebinding 三、效果展示
Kubernetes角色访问控制RBAC和权限规则(Role+ClusterRole)---好文
Vic的博客
11-02 676
RoleClusterRoleRBACAPI中,一个角色定义了一组特定权限的规则。namespace范围内的角色由Role对象定义,而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。RoleRole对象只能用于授予对某一namespace中资源的访问权限。kindRoleapiVersionmetadatanamespacedefaultnamerules[""]#空字符串""表明使用coreAPIgroupresources。...
K8S-遇到问题-解决日记
mingqing的博客
08-17 2216
K8S-遇到问题-解决日记
Kubernetes——角色、组件、运行流程介绍
m0_53891399的博客
08-23 517
在生产环境中,控制平面通常跨多台计算机运行,一个集群通常运行多个节点,提高容错性和高可用性。API 服务器是 Kubernetes 控制平面(俗称Master)的组件, 该组件负责公开了 Kubernetes API,负责处理接受请求的工作。,当服务配置发生更改时(例如,替换运行 pod 的镜像,或更改配置 yaml 文件中的参数),控制器会发现更改并开始朝着新的期望状态工作。从逻辑上讲,每个控制器都是一个单独的进程, 但是为了降低复杂性,它们都被编译到同一个可执行文件,并在一个进程中运行。
k8s 内置cluster role集群角色cluster-admin、admin、 edit、 view的作用范围及区别
学亮编程手记
06-27 2909
cluster-admin 超级管理员,对集群所有权限,和linux下面root一样(在部署dashboard的时候,先创建sa,然后将sa绑定到角色cluster-admin,最后获取到token,这就使用了内置cluster-admin )admin 主要用于授权命名空间所有读写权限(针对于某个命名空间)edit 允许对命名空间大多数对象读写操作,不允许查看或者修改角色角色绑定。view 允许对命名空间大多数对象只读权限,不允许查看角色角色绑定和Secretview ClusterRol
Kubernetes学习笔记(四):持久化存储与安全认证
hxt的博客
03-12 1068
一、持久化存储 容器的生命周期可能很短,会被频繁地创建和销毁。那么容器在销毁时,保存在容器中的数据也会被清除。这种结果对用户来说,在某些情况下是不乐意看到的。为了持久化保存容器的数据,Kubernetes引入了Volume的概念 Volume是Pod中能够被多个容器访问的共享目录,它被定义在Pod上,然后被一个Pod里的多个容器挂载到具体的文件目录下,Kubernetes通过Volume实现同一个Pod中不同容器之间的数据共享以及数据的持久化存储。Volume的生命容器不与Pod中单个容器的生命周期相关,当
k8s 用户角色 权限的划分
justlpf的专栏
08-18 1067
创建、删除或修改特定资源角色绑定则将角色与用户、组或服务账号进行关联,从而赋予其相应的权。
kubeadm搭建单master k8s集群
sudu318的博客
04-19 400
一、准备环境 软件环境 软件 版本 操作系统 CentOS7.9_x64 内核 kernel-ml-5.17.3-1.el7 Docker docker-ce-20.10.14-3.el7.x86_64 Kubernetes v1.23 服务器规划 主机名(角色) ..
kubernetes rbac的原理是什么
05-12
Kubernetes RBAC(Role-Based Access Control)是一种基于角色的访问控制机制,它允许管理员控制 Kubernetes 集群中用户和服务的访问权限。 RBAC 具有以下三个基本组件: 1. Role:定义了一组权限,可以被授予给一个或多个用户或服务账户。 2. RoleBinding:将一个 Role 与一个或多个用户或服务账户绑定在一起,从而赋予这些用户或服务账户特定的权限。 3. ClusterRole:与 Role 相似,但可以被授予集群范围内的用户或服务账户。 RBAC 的工作原理是在 API Server 中实现的。当一个用户或服务账户发起请求时,请求首先经过认证,然后 API Server 会检查该用户或服务账户是否拥有请求所需的权限。如果该用户或服务账户被授予了相应的权限,则请求会被允许;否则,请求会被拒绝。 RBAC 的优点在于它可以灵活地控制不同用户或服务账户的权限,从而提高 Kubernetes 集群的安全性和可管理性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值