1.  前言：

        aliyun 上采用容器服务 kubernetes 部署某业务的所有应用，每个应用有不同的Owner, 开发人员, 运维，需要根据应用分配不同的人访问权限。

需求：

• 运维人员(集群管理人员)---> 所有应用配置读写；
• 应用owner与运维 --> 所属应用的配置读写；
• 应用开发测试等人员 --> 只读访问应用的配置，并可以进入 POD 维护；

所有人员通过堡垒机运维线上系统，堡垒机审计功能记录运维人员的操作过程。

使用 Kubernetes RBAC 实现应用授权。

2. 实现流程：

2.1  前置规约：

• aliyun 购买堡垒机；
• aliyun 上购买一台低配 ECS 作为堡垒机的跳板机；
• 堡垒机跳板机获取需要分配权限的 k8s 集群的Master 证书，用以制作子证书；
• 应用在 k8s 集群中按照na