代码之家 › 专栏 › 技术社区 › DenCowboy

如何在Kubernetes中使用RBAC

kubernetes

DenCowboy · 技术社区 · 6 年前

我了解RBAC,并且能够使用主题中的规则创建角色,并将它们与用户绑定。

例如,此角色只能列出pod

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: development
  name: list-pods
rules:
- apiGroups: [""] # "" indicates the core API group
  resources: ["pods"]
  verbs: ["get", "list"]

现在我们为我们拥有的每个环境(dev、staging、prd)使用名称空间。现在,如何向不同名称空间中的用户提供此角色?我必须创建一个clusterRole并将其绑定到一个普通的rolebinding,还是必须编写上面的代码:yaml一次用于dev,一次用于uat,一次用于prd?关于如何处理这些案件有什么规定吗?

2 回复 | 直到 6 年前

mdaniel 6 年前

现在,如何向不同名称空间中的用户提供此角色?

如果您希望能够限制列出 Pod s代表那个 Subject 根据 Namespace 基础。例如,您可能不希望人们能够看到 豆荚 在 kube-system (或假设 internal-security 命名空间)。使用列表功能 豆荚 作为一个例子,s让这很难想象,但是它能够列出,或者查看,或者两者兼而有之, Secret s或 ConfigMap s可能会让这更具体。大概是 主题 可以查看 秘密 s代表他们拥有项目——甚至可能不是——但不适用于公司内的其他项目。那种事。

当一个人想到 exec 变得专横 豆荚 因为这是我能想到的对集群中应用程序的安全性和机密性的最大风险。

我需要创建一个clusterRole并将其与普通rolebinding绑定吗

不,有人用 ClusterRoleBinding 为此目的。”“必须”不是正确的问题;这取决于您是否希望将绑定应用于当前的所有命名空间 和未来 .

或者我必须写上面的话。yaml一次给dev,一次给uat,一次给prd?

这也取决于那些 Namespaces 风险相同 主题 是谁进入的。

关于如何处理这些案件有什么规定吗?

当然不是;集群安全性不是一刀切的。这一切都取决于一个人试图降低的风险类型。

作为考虑,您没有义务使用RBAC约束:您当然可以创建 ClusterRoleBinding公司 为每一个 主题 致 cluster-admin ClusterRole 再也没有权限管理了。也没有更多的保障措施,但这就是范围。

monis 6 年前

在您的特定情况下,我将创建具有所需权限的单个集群角色,然后通过角色绑定将其绑定到相关命名空间中的适当主题。

推荐文章

ralonr · 当上下文已经设置好时,如何在K9中的上下文之间切换?

2 年前

Dr. Andrew · kubectl运行时未创建部署

2 年前

Meghana B Srinath · ServiceNow作为基于容器的应用程序

2 年前

CodeMonkey · 键“meta.helm.sh/release name”必须等于“x”:当前值为“y”

2 年前

user17377017 · Kubernetes nginx控制器错误日志:连接到上游时connect()失败(111:连接被拒绝),客户端:X.X.X.X,服务器:X.X.X.X

2 年前

Suhasini Subramaniam · 如何列出库伯内特斯吊舱中有CharDevice?

2 年前

briadeus · Kubernetes活性/就绪性探测在同一集群上的不同命名空间中失败(权限被拒绝)

2 年前

Abhishek Rai · 库伯内特斯吊舱卡在集装箱内

2 年前

Rajan Subramanian · 无法让kubectl在minikube中运行flask应用程序

2 年前

TiDu · 使用EKS设置出口网关的最简单方法,无需Istio

2 年前