cks--基于角色的访问控制:RBAC

角色=权限组

以system：开头的权限组（即集群角色）是系统自用的，不要动，也没有动的必要。

1.执行cert.sh脚本生成证书
2.执行kubeconfig脚本（授权文件）

执行后会生成 用户名.kubeconfig的文件。
但是没有权限访问，用管理员的配置文件可以访问。

3.设置RBAC权限策略。

按用户授权

可以用kubectl api-resources命名查看。前面没有写组，表示是核心组。

例如deployments属于apps组。

4.指定kubeconfig文件测试权限

从报错也可以看出资源属于哪个组，“”是核心组。

按用户组授权：

calico/coredns/dashboard在工作时都要访问api server。