容器修仙传 我的灵根是Pod 第10章 心魔大劫（RBAC与SecurityContext）

第四卷：飞升之劫·化神篇

第10章 心魔大劫（RBAC与SecurityContext）

血月当空，林衍的混沌灵根正在异变。

每道经脉都爬满黑色纹路，神识海中回荡着蛊惑之音："破开藏经阁第九层禁制…夺取《太古弑仙诀》…"他的手掌不受控制地结出解禁法印，宗门大阵发出刺耳警报——竟是以「宗主令牌」（cluster-admin权限）发起的越界请求！

"锁魂钉！快！"云璃甩出七根刻满符咒的金针，却悉数被混沌灵根弹开。此刻的林衍，瞳孔已完全化为血色。

「知识点映射」

过度权限导致安全失控；cluster-admin权限的危险性

神识海深处，心魔幻境。

林衍站在无数光门前，每扇门都标注着宗门禁地：

• /api/v1/namespaces/禁地/pods（资源路径）
• /apis/rbac.authorization.k8s.io/v1（API组）
• /metrics（监控端口）

心魔化作云璃的模样低语：“推开它们，你就能获得真正的自由…”
当林衍的手触碰到「丹药房」门扉时，虚空突然降下金色锁链：

apiVersion: rbac.authorization.k8s.io/v1  
kind: Role  
metadata:  namespace: 外门  
rules:  
- apiGroups: [""]  resources: ["pods/log"]  verbs: ["get", "list"]  

锁链将他拽回原地，门扉上浮现血字警告：Error from server (Forbidden)

云璃的救赎之法。

现实世界中，云璃双手结出「九宫封魔印」：

1. 斩断林衍与宗主令牌的链接（撤销cluster-admin绑定）
2. 创建「渡劫专用」神识账户（ServiceAccount）
3. 刻下「化神心经」角色契约（RoleBinding）：

subjects:  
- kind: ServiceAccount  name: 林衍-渡劫  namespace: 心魔境  
roleRef:  kind: Role  name: 元婴修士基本权限  apiGroup: rbac.authorization.k8s.io  

神识海中，林衍突然发现掌心多出一枚青铜钥匙（有限权限Token），原本不可见的封印锁链显形——那是由万千细小符咒组成的访问控制列表！

心魔的最终反扑。

所有光门突然融合成血盆巨口，心魔现出本体——竟是暗影阁种下的「权限寄生蛊」！它嘶吼着：
“你以为角色绑定就能困住我？看这漏洞！”
蛊虫喷出黑雾，显露出林衍灵根深处的隐患：

securityContext:  runAsUser: 0  capabilities:  add: ["NET_ADMIN"]  

“哈哈哈！以root身份运行的容器，就是我最好的温床！”

云璃的声音穿透幻境：“笨徒弟，还记得元婴枷锁吗？”
林衍福至心灵，以神识重塑安全禁制：

securityContext:  runAsUser: 1000  readOnlyRootFilesystem: true  allowPrivilegeEscalation: false  

蛊虫突然发出惨叫，从根用户态跌落成普通修士！

黎明破晓时的顿悟。

林衍盘坐在晨光中，周身环绕着三重防护：

1. 最外层：角色契约锁链（RBAC规则）
2. 中层：元婴枷锁符纹（SecurityContext）
3. 核心：混沌灵根自带的命名空间隔离（Pod Security Policies）

他轻点虚空，演示给云璃看：

• 尝试访问丹房秘库时，触发kubectl auth can-i create pods --as=system:serviceaccount:心魔境:林衍-渡劫返回no
• 调用本命飞剑时，自动添加runAsNonRoot: true校验
• 神识探查范围被readOnlyRootFilesystem限制，无法修改天道法则

**三日后，宗门戒律堂。

云璃在玄光镜中重现心魔劫全过程：
"此劫给所有弟子的警示——

1. 最小权限原则：炼丹师不需要御剑术权限（细化Role定义）
2. 纵深防御：即便突破角色封印，还有元婴枷锁（多层安全机制）
3. 定期渡劫：用kubectl audit检查神识日志"

她突然剑指镜中某个画面：林衍在幻境里尝试kubectl get secrets --all-namespaces，镜面立刻爆出雷光：“看！这就是典型的心魔试探！”

月夜，林衍在思过崖重构权限体系：

他用剑气在石壁刻下：

apiVersion: rbac.authorization.k8s.io/v1  
kind: ClusterRole  
metadata:  name: 化神修士  
rules:  
- apiGroups: [""]  resources: ["pods", "services"]  verbs: ["*"]  
---  
apiVersion: v1  
kind: ServiceAccount  
metadata:  name: 林衍  annotations:  k8s灵气纹章: "混沌灵根持有者"  
---  
apiVersion: rbac.authorization.k8s.io/v1  
kind: ClusterRoleBinding  
metadata:  name: 林衍-化身绑定  
roleRef:  apiGroup: rbac.authorization.k8s.io  kind: ClusterRole  name: 化神修士  
subjects:  
- kind: ServiceAccount  name: 林衍  namespace: 渡劫境  

刻完最后一笔，石壁突然浮现天道认证的金光——他的权限体系竟得到宗门大阵认可！

（本章完）
下章预告：万魂蚀骨如何破解？NetworkPolicy即将展现隔离剑域！