认证（Authentication）【确认请求方是否有连接 apiserver 的权限】

鉴权（Authorization）【确认请求方具有哪些资源对象的操作权限】

Role （受限命名空间）+ RoleBinding（受限命名空间）    同一个命名空间有效

ClusterRole（全局）+ RoleBinding（受限命名空间）       在RoleBinding的命名空间有效

ClusterRole（全局）+  ClusterRoleBinding（全局）         全局有效

实例

若要对deployment资源拥有 创建 删除 查看 权限

查询kubectl api-resources发现deployment资源对应的apigroup为apps

因此此时apigroup就应该从 " " 更改为 "apps"

准入控制（Admission Control）【使用额外的准入控制插件对资源请求进行检查，如果检查不通过则会拒绝请求】

------------------- 实践：创建一个用户只能管理指定的命名空间 -------------------

 实验开始！

认证 

RBAC授权