目錄

1.解釋ResourceQuota的作用。

2.解釋Service Account的用途。

3.詳細解釋Role和ClusterRole。

4.什么是K8s的NetworkPolicy？

5.詳細描述在K8s中如何控制跨Namespace的Pod訪問？

---

1.解釋ResourceQuota的作用。

ResourceQuota（資源配額） 是一項核心的資源管控機制，用于限制命名空間（Namespace）內的資源使用總量，防止個別應用或團隊過度占用集群資源，保障集群資源的公平分配和高效利用。

---

2.解釋Service Account的用途。

Service Account（服務賬戶） 是用于標識和認證集群內運行的 Pod 或進程 的身份憑證，主要用于解決 Pod 與 Kubernetes API 服務器之間的身份認證問題，以及控制 Pod 對集群資源的訪問權限。

---

3.詳細解釋Role和ClusterRole。

Role 和 ClusterRole 是 RBAC（基于角色的訪問控制）體系的核心組件，用于定義對集群資源的操作權限（如查看、創建、刪除等）。

Role 是僅在單個命名空間（Namespace）內有效的權限集合

ClusterRole 是集群范圍有效的權限集合，可定義對集群級資源、跨命名空間資源或所有命名空間資源的操作權限。

---

4.什么是K8s的NetworkPolicy？

NetworkPolicy（網絡策略） 是用于控制 Pod 之間、Pod 與外部網絡之間通信的規則集合，類似于 “網絡防火墻”，通過定義流量允許 / 拒絕規則，實現對集群內部網絡通信的精細化管控，提升集群網絡安全性。

---

5.詳細描述在K8s中如何控制跨Namespace的Pod訪問？

在 Kubernetes 中，控制跨 Namespace 的 Pod 訪問主要通過 NetworkPolicy（網絡策略） 實現，結合命名空間標簽選擇器（namespaceSelector）和 Pod 標簽選擇器（podSelector），可以精確限制不同命名空間中 Pod 之間的通信。