那些遇到过的问题

允许 Kubernetes 用户列表/获取命名空间

MrP*_*cho 2 rbac kubernetes

我有以下用户清单,我希望允许 myapp-user 获取集群中所有命名空间的列表。从我查找的内容来看,我应该创建一个 ClusterRole,但我真的找不到足够的详细信息。是否有所有 apiGroups 和相应资源和动词的列表?

apiVersion: v1
kind: ServiceAccount
metadata:
  name: myapp-user
  namespace: myapp

---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: myapp-user-role
  namespace: myapp
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]
- apiGroups: ["batch"]
  resources:
  - jobs
  - cronjobs
  verbs: ["*"]
- apiGroups: ["networking.k8s.io"]
  resources:
  - ingress
  verbs: ["*"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: myapp-user
  namespace: myapp
subjects:
- kind: ServiceAccount
  name: myapp-suer
  namespace: myapp
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: myapp-user-role
Run Code Online (Sandbox Code Playgroud)

我认为将其添加到 role.rules 可能会有所帮助,但不幸的是没有

- apiGroups: [""]
  resources: ["namespaces"]
  verbs: ["GET"]
Run Code Online (Sandbox Code Playgroud)

Arg*_*dhu 5

您可以通过以下方式获取 API 资源 

kubectl api-resources

NAME                              SHORTNAMES   APIGROUP                       NAMESPACED   KIND
bindings                                                                      true         Binding
componentstatuses                 cs                                          false        ComponentStatus
configmaps                        cm                                          true         ConfigMap
endpoints                         ep                                          true         Endpoints
events                            ev                                          true         Event
limitranges                       limits                                      true         LimitRange
namespaces                        ns                                          false        Namespace
nodes                             no                                          false        Node
persistentvolumeclaims            pvc                                         true         PersistentVolumeClaim
persistentvolumes                 pv                                          false        PersistentVolume
Run Code Online (Sandbox Code Playgroud)

对于创建 clusterrole 和 clusterolebinding 下面的命令应该可以工作。

kubectl create clusterrole cr --verb=get,list --resource=namespaces

kubectl create clusterrolebinding crb --clusterrole=cr --serviceaccount=default:default
Run Code Online (Sandbox Code Playgroud)

然后测试一下

kubectl auth can-i get ns --as=system:serviceaccount:default:default
kubectl auth can-i list ns --as=system:serviceaccount:default:default
Run Code Online (Sandbox Code Playgroud)

MrP*_*cho 5

感谢@abhishek-jaisingh 和@arghya-sadhu 的回答,我能够弄清楚并将命令重写为清单。

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: myapp-user-cr
rules:
- apiGroups: [""]
  resources: ["namespaces"]
  verbs: ["get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: myapp-user-crb
subjects:
- kind: ServiceAccount
  name: myapp-user
roleRef:
  kind: ClusterRole
  name: myapp-user-cr
  apiGroup: rbac.authorization.k8s.io
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

3070 次

最近记录:

5 年,9 月 前
相关归档
Kubernetes Logs - 如何获取kube-system pod的日志 12
DiskPressure崩溃节点 8
kubernetes - 无法加入主节点 - 错误执行阶段预检:无法验证 API 服务器的身份 5
kubernetes - 将容器信息暴露为环境变量 4
污染 eks 节点组 4
docker 容器内的 Node.js 应用程序经常出现堆内存不足的情况 3
部署规范和模板中的标签 3
无法将容器映像从私有 Artifact Registry 拉取到 GKE Autopilot,即使这些映像位于同一项目中 2
Zookeeper拒绝来自旧客户端的Kafka连接 1
从主节点终止 kubectl exec 命令不会终止 pod 内运行的命令 0
难疑归档
var functionName = function(){} vs function functionName(){} 6645
使用Git将特定文件重置或还原到特定版本? 4255
我怎么知道通过jQuery选择了哪个单选按钮? 2583
为什么在单独的循环中元素添加比在组合循环中快得多? 2175
如何逐行读取文件到列表中? 2028
在jQuery中检测移动设备的最佳方法是什么? 1564
如何在JavaScript中将十进制转换为十六进制? 1387
URL.Combine的URL? 1186
如果我已经开始使用rebase,如何将两个提交合并为一个? 1111
如何将div中的绝对定位元素居中? 1034