查看其它 4 个回答zzhenglei的回答
这可能是因为OpenShift产品的目标群体,但实际上默认策略比Kubernetes上严格。例如,Docker Hub上可用的大多数容器镜像都不会在OpenShift上运行,因为它禁止以根用户身份运行容器,甚至许多官方镜像都不满足此要求。这就是为什么人们有时会感到困惑和愤怒,因为他们无法像在Kubernetes上那样运行简单的应用程序。有一种简便的方法可以禁用该策略,但是仍然显示出另一种安全性方法。
此外,RBAC是OpenShift不可或缺的一部分,因为有许多版本,而有些人则使用没有RBAC安全性的Kubernetes。小型的开发/测试设置是可以的,但是在现实生活中,您希望具有一定级别的权限——即使有时很难学习和理解(因为它是最初的)。在OpenShift中,您实际上别无选择,您必须在使用它并在其上部署越来越多的应用程序的过程中学习它。
最后一部分是身份验证和授权模型。OpenShift中还有其他机制可以简化与Active Directory的集成,但更有趣的部分是对外部应用程序的授权。作为OpenShift的一部分,您可以安装其他组件,例如:
· 内部容器厂库
· 基于EFK的日志记录堆栈(ElasticSearch,Fluentd,Kibana)
· 基于Prometheus的监控
· Jenkins
并且您使用单个帐户通过OAuth机制(作为sidecars运行的oauth——代理)对其进行身份验证。这使权限管理更加容易,并且可以带来EFK等其他功能,在这些功能中,您只能看到您有权访问的名称空间/项目的日志。是的——您也可以在Kubernetes上实现相同的目标,但这需要大量工作。
浏览3847