我在 GCP 中使用 GKE Kubernetes。我是 GCP、GKE 和 kubectl 的新手。我正在尝试创建新的 Kubernetes 用户,以便为他们分配 ClusterRoleBindings,然后以这些用户身份登录 (kubectl)。
我没有看到 GCP 用户和 Kubernetes“用户”之间的关系(我知道 Kubernetes 中没有 User 对象类型)。
根据https://cloud.google.com/kubernetes-engine/docs/concepts/security-overview,Kubernetes 用户帐户是 Google 帐户。
因此,我创建了一些 Google 帐户,然后通过 IAM 将它们与我的 GCP 帐户相关联。我可以在 IAM 中很好地看到这些帐户。
然后我对这些新用户执行 gcloud auth login,我可以在 gcloud auth 列表中看到他们。然后我尝试以我的各种用户身份访问 gcloud 资源(gcloud 计算磁盘列表)。这按预期工作 - GCP 用户权限得到尊重。
然后我创建了一个 Kubernetes UserRole。下一步是使用 UserRoleBinding 将这些用户绑定到这些角色。
ClusterRole.yaml(创建良好):
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
# "namespace" omitted since ClusterRoles are not namespaced
name: cluster-role-pod-reader-1
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list"] …