Kubernetes RBAC - 禁止尝试授予额外权限-6ren

Kubernetes RBAC - 禁止尝试授予额外权限

转载作者：行者123 更新时间：2023-12-01 10:21:26

我正在使用 Kubernetes v1.8.14 定制版 CoreOS簇:

$ kubectl version --short 
Client Version: v1.10.5
Server Version: v1.8.14+coreos.0

当试图创建以下 ClusterRole :

$ cat ClusterRole.yml 
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: system:coredns
rules:
- apiGroups:
  - ""
  resources:
  - endpoints
  - services
  - pods
  - namespaces
  verbs:
  - list
  - watch

我收到以下错误:

$ kubectl create -f ClusterRole.yml 
Error from server (Forbidden): error when creating "ClusterRole.yml": clusterroles.rbac.authorization.k8s.io "system:coredns" is forbidden: attempt to grant extra privileges: [PolicyRule{Resources:["endpoints"], APIGroups:[""], Verbs:["list"]} PolicyRule{Resources:["endpoints"], APIGroups:[""], Verbs:["watch"]} PolicyRule{Resources:["services"], APIGroups:[""], Verbs:["list"]} PolicyRule{Resources:["services"], APIGroups:[""], Verbs:["watch"]} PolicyRule{Resources:["pods"], APIGroups:[""], Verbs:["list"]} PolicyRule{Resources:["pods"], APIGroups:[""], Verbs:["watch"]} PolicyRule{Resources:["namespaces"], APIGroups:[""], Verbs:["list"]} PolicyRule{Resources:["namespaces"], APIGroups:[""], Verbs:["watch"]}] user=&{cluster-admin  [system:authenticated] map[]} ownerrules=[PolicyRule{Resources:["selfsubjectaccessreviews"], APIGroups:["authorization.k8s.io"], Verbs:["create"]} PolicyRule{NonResourceURLs:["/api" "/api/*" "/apis" "/apis/*" "/healthz" "/swagger-2.0.0.pb-v1" "/swagger.json" "/swaggerapi" "/swaggerapi/*" "/version"], Verbs:["get"]}] ruleResolutionErrors=[]

据我所知，我连接为 cluster-admin ，因此应该对我想要实现的目标有足够的权限。以下是相关的 cluster-admin配置:

$ cat ~/.kube/config
apiVersion: v1
kind: Config
current-context: dev
preferences:
  colors: true

clusters:
- cluster:
    certificate-authority: cluster-ca.pem
    server: https://k8s.loc:4430
  name: dev

contexts:
- context:
    cluster: dev
    namespace: kube-system
    user: cluster-admin
  name: dev

users:
- name: cluster-admin
  user:
    client-certificate: cluster.pem
    client-key: cluster-key.pem


$ kubectl get clusterrole cluster-admin -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: 2018-07-30T14:44:44Z
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "1164791"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterroles/cluster-admin
  uid: 196ffecc-9407-11e8-bd67-525400ac0b7d
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - '*'
- nonResourceURLs:
  - '*'
  verbs:
  - '*'


$ kubectl get clusterrolebinding cluster-admin -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "true"
  creationTimestamp: 2018-07-30T14:44:45Z
  labels:
    kubernetes.io/bootstrapping: rbac-defaults
  name: cluster-admin
  resourceVersion: "1164832"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin
  uid: 19e516a6-9407-11e8-bd67-525400ac0b7d
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:masters


$ kubectl get serviceaccount cluster-admin -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2018-07-30T13:32:13Z
  name: cluster-admin
  namespace: kube-system
  resourceVersion: "1158783"
  selfLink: /api/v1/namespaces/kube-system/serviceaccounts/cluster-admin
  uid: f809e079-93fc-11e8-8b85-525400546bcd
secrets:
- name: cluster-admin-token-t7s4c

我知道这是 RBAC 问题，但不知道如何进一步调试。

编辑-1。

我尝试了建议，不幸的是没有快乐......

$ kubectl get clusterrolebinding cluster-admin-binding -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  creationTimestamp: 2018-07-31T09:21:34Z
  name: cluster-admin-binding
  resourceVersion: "1252260"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin-binding
  uid: 1e1c0647-94a3-11e8-9f9b-525400ac0b7d
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: cluster-admin
  namespace: default


$ kubectl describe secret $(kubectl get secret | awk '/cluster-admin/{print $1}')
Name:         cluster-admin-token-t7s4c
Namespace:    kube-system
Labels:       <none>
Annotations:  kubernetes.io/service-account.name=cluster-admin
              kubernetes.io/service-account.uid=f809e079-93fc-11e8-8b85-525400546bcd

Type:  kubernetes.io/service-account-token

Data
====
ca.crt:     1785 bytes
namespace:  11 bytes
token:      eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.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.rC1x9Or8GArkhC3P0s-l_Pc0e6TEUwfbJtXAN2w-cOaRUCNCo6r4WxXKu32ngOg86TXqCho2wBopXtbJ2CparIb7FWDXzri6O6LPFzHWNzZo3b-TON2yxHMWECGjpbbqjDgkPKDEldkdxJehDBJM_GFAaUdNyYpFFsP1_t3vVIsf2DpCjeMlOBSprYRcEKmDiE6ehF4RSn1JqB7TVpvTZ_WAL4CRZoTJtZDVoF75AtKIADtVXTxVv_ewznDCKUWDupg5Jk44QSMJ0YiG30QYYM699L5iFLirzD5pj0EEPAoMeOqSjdp7KvDzIM2tBiu8YYl6Fj7pG_53WjZrvlSk5pgPLS-jPKOkixFM9FfB2eeuP0eWwLO5wvU5s--a2ekkEhaqHTXgigeedudDA_5JVIJTS0m6V9gcbE4_kYRpU7_QD_0TR68C5yxUL83KfOzj6A_S6idOZ-p7Ni6ffE_KlGqqcgUUR2MTakJgimjn0gYHNaIqmHIu4YhrT-jffP0-5ZClbI5srj-aB4YqGtCH9w5_KBYD4S2y6Rjv4kO00nZyvi0jAHlZ6el63TQPWYkjyPL2moF_P8xcPeoDrF6o8bXDzFqlXLqda2Nqyo8LMhLxjpe_wFeGuwzIUxwwtH1RUR6BISRUf86041aa2PeJMqjTfaU0u_SvO-yHMGxZt3o

然后修改 ~/.kube/config :

$ cat ~/.kube/config
apiVersion: v1
kind: Config
current-context: dev
preferences:
  colors: true

clusters:
- cluster:
    certificate-authority: cluster-ca.pem
    server: https://k8s.loc:4430
  name: dev

contexts:
- context:
    cluster: dev
    namespace: kube-system
    user: cluster-admin-2
  name: dev

users:
- name: cluster-admin
  user:
    client-certificate: cluster.pem
    client-key: cluster-key.pem
- name: cluster-admin-2
  user:
    token: eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.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.rC1x9Or8GArkhC3P0s-l_Pc0e6TEUwfbJtXAN2w-cOaRUCNCo6r4WxXKu32ngOg86TXqCho2wBopXtbJ2CparIb7FWDXzri6O6LPFzHWNzZo3b-TON2yxHMWECGjpbbqjDgkPKDEldkdxJehDBJM_GFAaUdNyYpFFsP1_t3vVIsf2DpCjeMlOBSprYRcEKmDiE6ehF4RSn1JqB7TVpvTZ_WAL4CRZoTJtZDVoF75AtKIADtVXTxVv_ewznDCKUWDupg5Jk44QSMJ0YiG30QYYM699L5iFLirzD5pj0EEPAoMeOqSjdp7KvDzIM2tBiu8YYl6Fj7pG_53WjZrvlSk5pgPLS-jPKOkixFM9FfB2eeuP0eWwLO5wvU5s--a2ekkEhaqHTXgigeedudDA_5JVIJTS0m6V9gcbE4_kYRpU7_QD_0TR68C5yxUL83KfOzj6A_S6idOZ-p7Ni6ffE_KlGqqcgUUR2MTakJgimjn0gYHNaIqmHIu4YhrT-jffP0-5ZClbI5srj-aB4YqGtCH9w5_KBYD4S2y6Rjv4kO00nZyvi0jAHlZ6el63TQPWYkjyPL2moF_P8xcPeoDrF6o8bXDzFqlXLqda2Nqyo8LMhLxjpe_wFeGuwzIUxwwtH1RUR6BISRUf86041aa2PeJMqjTfaU0u_SvO-yHMGxZt3o

然后尝试应用相同的 ClusterRole ，这呈现了相同的错误:

$ kubectl apply -f ClusterRole.yml 
Error from server (Forbidden): error when creating "ClusterRole.yml": clusterroles.rbac.authorization.k8s.io "system:coredns" is forbidden: attempt to grant extra privileges: [PolicyRule{Resources:["endpoints"], APIGroups:[""], Verbs:["list"]} PolicyRule{Resources:["endpoints"], APIGroups:[""], Verbs:["watch"]} PolicyRule{Resources:["services"], APIGroups:[""], Verbs:["list"]} PolicyRule{Resources:["services"], APIGroups:[""], Verbs:["watch"]} PolicyRule{Resources:["pods"], APIGroups:[""], Verbs:["list"]} PolicyRule{Resources:["pods"], APIGroups:[""], Verbs:["watch"]} PolicyRule{Resources:["namespaces"], APIGroups:[""], Verbs:["list"]} PolicyRule{Resources:["namespaces"], APIGroups:[""], Verbs:["watch"]}] user=&{system:serviceaccount:kube-system:cluster-admin f809e079-93fc-11e8-8b85-525400546bcd [system:serviceaccounts system:serviceaccounts:kube-system system:authenticated] map[]} ownerrules=[PolicyRule{Resources:["selfsubjectaccessreviews"], APIGroups:["authorization.k8s.io"], Verbs:["create"]} PolicyRule{NonResourceURLs:["/api" "/api/*" "/apis" "/apis/*" "/healthz" "/swagger-2.0.0.pb-v1" "/swagger.json" "/swaggerapi" "/swaggerapi/*" "/version"], Verbs:["get"]}] ruleResolutionErrors=[]

以下是我用来启动 apiserver 的标志:

  containers:
    - name: kube-apiserver
      image: quay.io/coreos/hyperkube:${K8S_VER}
      command:
        - /hyperkube
        - apiserver
        - --bind-address=0.0.0.0
        - --etcd-servers=${ETCD_ENDPOINTS}
        - --allow-privileged=true
        - --service-cluster-ip-range=${SERVICE_IP_RANGE}
        - --secure-port=443
        - --advertise-address=${ADVERTISE_IP}
        - --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota
        - --tls-cert-file=/etc/kubernetes/ssl/apiserver.pem
        - --tls-private-key-file=/etc/kubernetes/ssl/apiserver-key.pem
        - --client-ca-file=/etc/kubernetes/ssl/ca.pem
        - --service-account-key-file=/etc/kubernetes/ssl/apiserver-key.pem
        - --runtime-config=extensions/v1beta1/networkpolicies=true
        - --anonymous-auth=false
        - --authorization-mode=AlwaysAllow,RBAC,Node

这里是我用来生成我的 tls 的脚本。证书:

根 ca :

openssl genrsa -out ca-key.pem 4096
openssl req -x509 -new -nodes -key ca-key.pem -days 3650 -out ca.pem -subj "/CN=kube-ca"

apiserver :

cat > openssl.cnf <<EOF
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = kubernetes
DNS.2 = kubernetes.default
DNS.3 = kubernetes.default.svc
DNS.4 = kubernetes.default.svc.cluster.local
DNS.5 = ${MASTER_LB_DNS}
IP.1 = ${K8S_SERVICE_IP}
IP.2 = ${MASTER_HOST}
EOF

openssl genrsa -out apiserver-key.pem 4096
openssl req -new -key apiserver-key.pem -out apiserver.csr -subj "/CN=kube-apiserver" -config openssl.cnf
openssl x509 -req -in apiserver.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out apiserver.pem -days 3650 -extensions v3_req -extfile openssl.cnf

集群管理员 :

openssl genrsa -out cluster-admin-key.pem 4096
openssl req -new -key cluster-admin-key.pem -out cluster-admin.csr -subj "/CN=cluster-admin"
openssl x509 -req -in cluster-admin.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cluster-admin.pem -days 3650

我希望这能让您更深入地了解我的系统出了什么问题。

编辑-2。

我注意到我的系统配置与@MarcinRomaszewicz 建议的内容之间存在细微差异，因此集群管理员的命名空间 ServiceAccount ，就我而言，它位于 kube-system与 default 不同命名空间:

$ kubectl delete clusterrolebinding cluster-admin-binding 
clusterrolebinding.rbac.authorization.k8s.io "cluster-admin-binding" deleted

$ kubectl create clusterrolebinding cluster-admin-binding \
 --clusterrole=cluster-admin --serviceaccount=kube-system:cluster-admin
clusterrolebinding.rbac.authorization.k8s.io "cluster-admin-binding" created

$ kubectl apply -f ClusterRole.yml 
clusterrole.rbac.authorization.k8s.io "system:coredns" created

但是它仍然不适用于我的证书...

编辑-3。

正如评论中所建议的，为了 apiserver将用户识别为 cluster-admin , 该用户证书中的主题行必须包含以下项目: Subject: CN = cluster-admin, O = system:masters .生成此类证书的一种方法如下:

openssl genrsa -out cluster-admin-key.pem 4096
openssl req -new -key cluster-admin-key.pem -out cluster-admin.csr -subj "/CN=cluster-admin/O=system:masters"
openssl x509 -req -in cluster-admin.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cluster-admin.pem -days 3650

最佳答案

这里没有足够的信息来回答你的问题。

听起来您遇到了特权升级预防:
https://kubernetes.io/docs/reference/access-authn-authz/rbac/#privilege-escalation-prevention-and-bootstrapping

这意味着您实际上并未以集群管理员身份运行。检查您的 kubectl 配置。例如，您可能以受限于特定 namespace 的“管理员”身份运行。

(根据下面的评论进行编辑)

您对 k8s 的身份是由您的 cluster.pem 证书的内容确定的，而不是来自 kubeconfig 的用户名，因为该用户名仅在 kubeconfig 文件中有效。您的实际用户由该证书确定。

我看到您有一个名为 cluster-admin 的服务帐户，但它不是“system:masters”的成员，因为组是对用户进行身份验证的身份验证系统的属性 - 您需要创建一个明确的集群角色binding 将您的 cluster-admin 服务帐户绑定(bind)到 cluster-admin clusterrole。

kubectl create clusterrolebinding cluster-admin-binding --clusterrole=cluster-admin --serviceaccount=default:cluster-admin

您应该会看到集群角色现在与您的服务帐户绑定(bind)。

$ kubectl get clusterrolebinding cluster-admin-binding -o yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  creationTimestamp: 2018-07-30T22:02:33Z
  name: cluster-admin-binding
  resourceVersion: "71152"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/cluster-admin-binding
  uid: 42a2862c-9444-11e8-8b71-080027de17da
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: cluster-admin
  namespace: default

请注意底部，绑定(bind)适用于“ServiceAccount”，而不是组。

您的服务帐户有一个访问 token ，使用它来代替您的证书进行身份验证。我为自己创建了一个集群管理员服务帐户，这就是我获取 token 的方式:

$ kubectl describe secret $(kubectl get secret | grep cluster-admin | awk '{print $1}')
Name:         cluster-admin-token-96vdz
Namespace:    default
Labels:       <none>
Annotations:  kubernetes.io/service-account.name=cluster-admin
              kubernetes.io/service-account.uid=f872f08b-9442-11e8-8b71-080027de17da

Type:  kubernetes.io/service-account-token

Data
====
token:      eyJhbGciOiJSUzI1NiIsImtpZCI6IiJ9.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6ImNsdXN0ZXItYWRtaW4tdG9rZW4tOTZ2ZHoiLCJrdWJlcm5ldGVzLmlvL3NlcnZpY2VhY2NvdW50L3NlcnZpY2UtYWNjb3VudC5uYW1lIjoiY2x1c3Rlci1hZG1pbiIsImt1YmVybmV0ZXMuaW8vc2VydmljZWFjY291bnQvc2VydmljZS1hY2NvdW50LnVpZCI6ImY4NzJmMDhiLTk0NDItMTFlOC04YjcxLTA4MDAyN2RlMTdkYSIsInN1YiI6InN5c3RlbTpzZXJ2aWNlYWNjb3VudDpkZWZhdWx0OmNsdXN0ZXItYWRtaW4ifQ.<signature snipped>
ca.crt:     1066 bytes
namespace:  7 bytes

更新 kubeconfig 以使用该 token 而不是您当前使用的证书对自己进行身份验证，并且您应该成功地作为该集群管理员服务帐户进行身份验证。

(编辑 2)
事实证明，用于向 Kubernetes 进行身份验证的证书没有关于用户的任何身份声明。 Kubernetes 依靠身份验证模块来对用户进行身份验证，在这种情况下，基于证书。它期望证书包含一个声明，通过将组织设置为“system:masters”，将用户放入“system:masters”组。

这里有很多动人的部分。该问题与服务帐户或角色无关，而与用户身份验证有关，这是非常不透明的。

关于Kubernetes RBAC - 禁止尝试授予额外权限，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/51598467/

文章推荐： python - 通过 pyodbc 连接到 Azure SQL 数据库

文章推荐： java - Android - 使用另一个类的方法不起作用

文章推荐： apache-spark - Spark 数据帧 : explode list column

rbac - RBAC 上的操作和权限的区别
我正在使用基于角色的访问控制(RBAC)开发通用用户管理系统，因为我无法区分操作表和权限表(这是在阅读了这么多文章之后)。 "一个主体可以有多个角色。一个角色可以有多个主体。一个角色可以有多个权限。一
rbac - 在基于角色的访问控制 (RBAC) 中使用 session
我试图了解基于 RBAC 模型的访问控制。我引用了以下链接。 NIST RBAC Data Model 我没有像摘录中提到的那样清楚地理解这部分 - *“每个 session 是一个用户到可能多个角色
php - 有没有办法用 yii\rbac\PhpManager 刷新 Yii2 中缓存的 rbac 项？
Yii2 有 PhpAuthManager 来设置、存储和检查 rbac 项目。它被缓存，在我更改权限后，我可以完全刷新缓存以应用新权限。但我只想用 rbac 项目刷新缓存的一部分，而不是全部。有没有
jenkins - Openshift:用户 "system:serviceaccount::jenkins"无法创建 PV:RBAC:clusterrole.rbac.authorization.k8s.io "create"未找到
Openshift/okd 版本:3.11 我正在使用 openshift 目录中的 jenkins-ephemeral 应用程序并使用 buildconfig 创建管道。引用:https://doc
clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "system:anonymous" cannot create resource "clusterrolebindings"(clusterrolebindings.rbac.authorization.k8s.io被禁止：用户“system:nonymous”无法创建资源“clusterrolebbindings”)
I am getting the below error where i creating the kubernetes cluster on AWS below are the files a
RBAC-基于角色的访问控制
偷偷把RBAC基于角色的访问控制秘籍发出来，不需要自宫~ RBAC-基于角色的访问控制什么是RBAC 概念 RBAC 是基于角色的访问控制（Role-Based Access Control ）在
kubernetes - RBAC:具有多个命名空间的角色
尝试编写我的第一套 RBAC 角色。因此，试图找出为多个命名空间组件分配 2 个角色的最佳方法。管理员角色(3 个命名空间的 RW 表示默认，ns1 和 ns2)用户角色(只读 3 个命名空间，默认
centos - RBAC 授权禁止我分配角色和部署
我正在使用最新版本的 Kubernetes 在 CentOS 7 上运行一个两节点集群。设置后好像什么都做不了这是我想从主服务器创建部署时遇到的错误: Error from server (Forb
Openshift RBAC 策略允许预览环境中的项目访问来自不同项目的图像
我在 Jenkinsx 设置中使用 OKD，jenkinsx 根据开发人员创建的拉取请求动态创建一个项目，并在该项目中部署服务。但是这些项目中的服务因“ImagePullBackOff”错误而失败，
Azure RBAC 权限
有一个用例我正在寻找解决方案。假设我在订阅级别将 RBAC - 所有者角色分配给用户(xxx)。但现在我需要将此权限排除在此订阅下的资源组之一。这可行吗？最佳答案没有。 Azure RBAC 权限
Azure RBAC - 模块化和自定义角色继承
我和我的团队正在处理属于不同团队的数百个订阅。他们中的许多人在安全性、要使用的服务等方面有不同的需求，而我们作为一个中央平台，也确保每个人都使用相同的基线(安全性、监控、自动化等)。我们当然需要处理
Azure RBAC 权限树？
有没有办法查询 Azure(通过 REST 或 CLI)以查看某些操作需要/授予哪些权限？例如，如果我想分配具有 Microsoft.Compute/virtualMachines/write 权限
Azure RBAC 应用程序见解码件贡献者与监视贡献者
我正在尝试了解 Azure RBAC 中这两个角色之间的重叠。看起来除了“Microsoft.Resources/deployments/*”之外，monitor-contributor 完全覆盖了
Azure RBAC 自定义角色
我目前正在尝试制定角色和权利概念。 Azure RBAC 已经有一些内置角色，但我正在尝试创建更多自定义角色。自定义角色是否直接链接到 RBAC？有人对我应该添加哪些角色有任何建议吗？我目前并不熟悉
Azure 部署槽 RBAC
我需要为 Azure WebApp 及其部署槽上的不同用户(或组)提供不同级别的访问权限。如果我仅向用户授予对部署槽的访问权限，他将无法在 Azure 管理门户上看到它。如果我向用户授予对整个网络
kubernetes - 为每个命名空间设置Helm RBAC
我遵循官方Helm documentation的“在 namespace 中部署Tiller，仅限于仅在该 namespace 中部署资源”。这是我的bash脚本: Namespace="$1" ku
Azure RBAC 应用程序见解码件贡献者与监视贡献者
我正在尝试了解 Azure RBAC 中这两个角色之间的重叠。看起来除了“Microsoft.Resources/deployments/*”之外，monitor-contributor 完全覆盖了
Azure RBAC 自定义角色
我目前正在尝试制定角色和权利概念。 Azure RBAC 已经有一些内置角色，但我正在尝试创建更多自定义角色。自定义角色是否直接链接到 RBAC？有人对我应该添加哪些角色有任何建议吗？我目前并不熟悉
Azure 部署槽 RBAC
我需要为 Azure WebApp 及其部署槽上的不同用户(或组)提供不同级别的访问权限。如果我仅向用户授予对部署槽的访问权限，他将无法在 Azure 管理门户上看到它。如果我向用户授予对整个网络
Kubernetes RBAC - 禁止尝试授予额外权限
我正在使用 Kubernetes v1.8.14 定制版 CoreOS簇: $ kubectl version --short Client Version: v1.10.5 Server Versi

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

Kubernetes RBAC - 禁止尝试授予额外权限