注册
登录
k8s/Kubernetes
GKE Kubernetes RBAC将默认角色绑定到我的有限自定义
返回
GKE Kubernetes RBAC将默认角色绑定到我的有限自定义
作者:
Charizard
发布时间:
2024-10-12 10:35:31 (1天前)
转自:
<p> <br/> 我正在使用G.<br/>我想创建一个只能访问特定命名空间的自定义用户,我使用了这个yaml:</p><p>—<br/>apiVersion:v1<br/>kind:ServiceAccount<br/>元数据:<br/> 名称:开发用户<br/> 命名空间:开发</p><p>-…<br/> <br/></p>
收藏
举报
3 条回复
0#
回复此人
那月静好
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 这是一篇关于如何设置它的好文章: <a href="https://jeremievallee.com/2018/05/28/kubernetes-rbac-namespace-user.html" rel="nofollow noreferrer"> https://jeremievallee.com/2018/05/28/kubernetes-rbac-namespace-user.html </A> 。 </p> <P> 一般来说,你的配置很好,我改变的是线 <code> - apiGroups: rbac.authorization.k8s.io </code> 变成: </p> <pre> <code> - apiGroups: ["", "extensions", "apps"] </code> </pre> <P> 然后,应用以下步骤: </p> <OL> <LI> 创建 <code> develop </code> 命名空间 </LI> </醇> <pre> <code> $ kubectl create namespace develop </code> </pre> <ol start =“2”> <LI> 从您的配置创建RBAC。 </LI> </醇> <pre> <code> $ kubectl apply -f rbac.yaml </code> </pre> <ol start =“3”> <LI> 读取群集IP,令牌和CA证书。 </LI> </醇> <pre> <code> $ kubectl cluster-info $ kubectl get secret develop-user-token-2wsnb -o jsonpath={.data.token} -n develop | base64 --decode $ kubectl get secret develop-user-token-2wsnb -o "jsonpath={.data['ca\.crt']}" -n develop </code> </pre> <ol start =“4”> <LI> 装满 <code> ~/.kube/config </code> 文件(如中所述) <a href="https://jeremievallee.com/2018/05/28/kubernetes-rbac-namespace-user.html" rel="nofollow noreferrer"> 链接指南 </A> ) </LI> <LI> 将上下文更改为 <code> develop </code> </LI> <LI> 用户只能访问中的检查服务 <code> develop </code> 命名空间。 </LI> </醇> <pre> <code> $ kubectl get service my-service -n mynamespace Error from server (Forbidden): services "my-service" is forbidden: User "system:serviceaccount:develop:develop-user" cannot get services in the namespace "mynamespace" $ kubectl get service my-service -n develop hError from server (NotFound): services "my-service" not found </code> </pre> </DIV>
编辑
1#
回复此人
夏花
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> <a href="https://medium.com/uptime-99/making-sense-of-kubernetes-rbac-and-iam-roles-on-gke-914131b01922" rel="nofollow noreferrer"> https://medium.com/uptime-99/making-sense-of-kubernetes-rbac-and-iam-roles-on-gke-914131b01922 </A> <BR/> <a href="https://medium.com/@ManagedKube/kubernetes-rbac-port-forward-4c7eb3951e28" rel="nofollow noreferrer"> https://medium.com/@ManagedKube/kubernetes-rbac-port-forward-4c7eb3951e28 </A> </p> <P> 这两篇文章终于帮助了我!由于这个愚蠢的东西,我几乎感到沮丧,多亏了正常时间-99和ManagedKube我做到了!好极了! </p> <P> 关键是在gcloud中创建kubernetes-viewer用户,然后为他创建一个角色 这是一个暗示! </p> <pre> <code> --- kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: develop name: allow-developer-port-forward rules: - apiGroups: [""] resources: ["pods", "pods/portforward"] verbs: ["get", "list", "create"] --- kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: anime-developer-port-access namespace: develop subjects: - kind: User name: ANIMEDEVERLOP@gmail.com apiGroup: rbac.authorization.k8s.io roleRef: kind: Role name: allow-developer-port-forward apiGroup: "" </code> </pre> <P> 然后 </p> <BLOCKQUOTE> <P> kubectly apply -f accessconfig.yaml </p> </BLOCKQUOTE> <P> 而已! <BR/> 祝你今天愉快! </p> </DIV>
编辑
登录
后才能参与评论
