第四卷：飛升之劫·化神篇

第10章 心魔大劫（RBAC與SecurityContext）

---

血月當空，林衍的混沌靈根正在異變。

每道經脈都爬滿黑色紋路，神識海中回蕩著蠱惑之音："破開藏經閣第九層禁制…奪取《太古弒仙訣》…"他的手掌不受控制地結出解禁法印，宗門大陣發出刺耳警報——竟是以「宗主令牌」（cluster-admin權限）發起的越界請求！

"鎖魂釘！快！"云璃甩出七根刻滿符咒的金針，卻悉數被混沌靈根彈開。此刻的林衍，瞳孔已完全化為血色。

「知識點映射」

過度權限導致安全失控；cluster-admin權限的危險性

---

神識海深處，心魔幻境。

林衍站在無數光門前，每扇門都標注著宗門禁地：

• /api/v1/namespaces/禁地/pods（資源路徑）
• /apis/rbac.authorization.k8s.io/v1（API組）
• /metrics（監控端口）

心魔化作云璃的模樣低語：“推開它們，你就能獲得真正的自由…”
當林衍的手觸碰到「丹藥房」門扉時，虛空突然降下金色鎖鏈：

apiVersion: rbac.authorization.k8s.io/v1  
kind: Role  
metadata:  namespace: 外門  
rules:  
- apiGroups: [""]  resources: ["pods/log"]  verbs: ["get", "list"]  

鎖鏈將他拽回原地，門扉上浮現血字警告：Error from server (Forbidden)

---

云璃的救贖之法。

現實世界中，云璃雙手結出「九宮封魔印」：

1. 斬斷林衍與宗主令牌的鏈接（撤銷cluster-admin綁定）
2. 創建「渡劫專用」神識賬戶（ServiceAccount）
3. 刻下「化神心經」角色契約（RoleBinding）：

subjects:  
- kind: ServiceAccount  name: 林衍-渡劫  namespace: 心魔境  
roleRef:  kind: Role  name: 元嬰修士基本權限  apiGroup: rbac.authorization.k8s.io  

神識海中，林衍突然發現掌心多出一枚青銅鑰匙（有限權限Token），原本不可見的封印鎖鏈顯形——那是由萬千細小符咒組成的訪問控制列表！

---

心魔的最終反撲。

所有光門突然融合成血盆巨口，心魔現出本體——竟是暗影閣種下的「權限寄生蠱」！它嘶吼著：
“你以為角色綁定就能困住我？看這漏洞！”
蠱蟲噴出黑霧，顯露出林衍靈根深處的隱患：

securityContext:  runAsUser: 0  capabilities:  add: ["NET_ADMIN"]  

“哈哈哈！以root身份運行的容器，就是我最好的溫床！”

云璃的聲音穿透幻境：“笨徒弟，還記得元嬰枷鎖嗎？”
林衍福至心靈，以神識重塑安全禁制：

securityContext:  runAsUser: 1000  readOnlyRootFilesystem: true  allowPrivilegeEscalation: false  

蠱蟲突然發出慘叫，從根用戶態跌落成普通修士！

---

黎明破曉時的頓悟。

林衍盤坐在晨光中，周身環繞著三重防護：

1. 最外層：角色契約鎖鏈（RBAC規則）
2. 中層：元嬰枷鎖符紋（SecurityContext）
3. 核心：混沌靈根自帶的命名空間隔離（Pod Security Policies）

他輕點虛空，演示給云璃看：

• 嘗試訪問丹房秘庫時，觸發kubectl auth can-i create pods --as=system:serviceaccount:心魔境:林衍-渡劫返回no
• 調用本命飛劍時，自動添加runAsNonRoot: true校驗
• 神識探查范圍被readOnlyRootFilesystem限制，無法修改天道法則

---

**三日后，宗門戒律堂。

云璃在玄光鏡中重現心魔劫全過程：
"此劫給所有弟子的警示——

1. 最小權限原則：煉丹師不需要御劍術權限（細化Role定義）
2. 縱深防御：即便突破角色封印，還有元嬰枷鎖（多層安全機制）
3. 定期渡劫：用kubectl audit檢查神識日志"

她突然劍指鏡中某個畫面：林衍在幻境里嘗試kubectl get secrets --all-namespaces，鏡面立刻爆出雷光：“看！這就是典型的心魔試探！”

---

月夜，林衍在思過崖重構權限體系：

他用劍氣在石壁刻下：

apiVersion: rbac.authorization.k8s.io/v1  
kind: ClusterRole  
metadata:  name: 化神修士  
rules:  
- apiGroups: [""]  resources: ["pods", "services"]  verbs: ["*"]  
---  
apiVersion: v1  
kind: ServiceAccount  
metadata:  name: 林衍  annotations:  k8s靈氣紋章: "混沌靈根持有者"  
---  
apiVersion: rbac.authorization.k8s.io/v1  
kind: ClusterRoleBinding  
metadata:  name: 林衍-化身綁定  
roleRef:  apiGroup: rbac.authorization.k8s.io  kind: ClusterRole  name: 化神修士  
subjects:  
- kind: ServiceAccount  name: 林衍  namespace: 渡劫境  

刻完最后一筆，石壁突然浮現天道認證的金光——他的權限體系竟得到宗門大陣認可！

---

（本章完）
下章預告：萬魂蝕骨如何破解？NetworkPolicy即將展現隔離劍域！