1. ABAC：基于属性的访問控制
2. RBAC：基于角色的访问控制

解释: 让一个用户扮演一个角色(Role)而角色(Role)拥有某些操作的权限，那么这么用户就拥有了该角色的操作权限

所以说，之后的所有的操作许可都是直接授权给角色(Role)，而不是直接授权给用户

对某个对象施加的一种行为成为 Action。

在RBAC API中一个角色包含了一套表示一组权限的规则。 权限以纯粹的累加形式累积（没有”否定”的规则） 角色可以由命名空间（namespace）内的Role对象定义，而整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现

role中，定义对象和動作决定此role的权限边界。
在role中只能定义那些对象的动作被允许，不能定义决绝
意思就是说，只要没有定义允许的都会被拒绝。

测试绑定jerry用户

切换至 jerry然后进行访问测试：

1. 可以访问default名称空间的pods资源，但不能访问service资源

测试只能访问 default 洺称空间的资源，而不能访问其他名称空间的资源

这两个都是集群角色的管理员，那么当集群中有多个名称空间的时候就不需要手动去创建管理员角色，直接可以使用admin的角色机型rolebinding这样省去了很多重复工作。

之前已经绑定了一个clusterrole此时再次绑定，不受影响相当于一人身兼多职。

自用的网络有在路由器部署 VPN,国外蕗由自动走 VPN 测试的系统是 MacBook Pro OS X 10.10.5 。请问万能的 V 友哪里出问题了