azure - 创建具有受限权限的 kubeconfig-6ren

azure - 创建具有受限权限的 kubeconfig

转载作者：行者123 更新时间：2023-12-02 11:53:01

25

4

我需要创建一个具有受限访问权限的 kubeconfig，我希望能够提供在特定 namespace 中更新 configmap 的权限，如何创建具有以下权限的这样的 kubeconfig

for specefic namespace (myns)

update only configmap (mycm)

有没有简单的方法来创建它？

这里棘手的部分是，我需要某个程序能够访问集群 X 并仅修改此 comfigMap，在不提供完整的 kubeconfig 文件的情况下，我将如何从外部进程执行此操作出于安全原因出现问题

明确地说，我拥有集群，我只是想授予某些程序受限权限

最佳答案

这并不简单。但还是有可能的。

如果命名空间 myns 不存在，则创建它。

$ kubectl create ns myns
namespace/myns created

在 myns 命名空间中创建服务帐户 cm-user。它还会创建一个 secret token 。

$ kubectl create sa cm-user -n myns
serviceaccount/cm-user created

$  kubectl get sa cm-user -n myns
NAME      SECRETS   AGE
cm-user   1         18s

$ kubectl get secrets -n myns
NAME                  TYPE                                  DATA   AGE
cm-user-token-kv5j5   kubernetes.io/service-account-token   3      63s
default-token-m7j9v   kubernetes.io/service-account-token   3      96s

从 cm-user-token-kv5j5 secret 中获取 token 和 ca.crt。

$ kubectl get secrets cm-user-token-kv5j5 -n myns -oyaml

Base64 解码 cm-user-token-kv5j5 中的 token 值。

现在使用解码后的 token 创建一个用户。

$ kubectl config set-credentials cm-user --token=<decoded token value>
User "cm-user" set.

现在生成一个 kubeconfig 文件 kubeconfig-cm。

apiVersion: v1
kind: Config
clusters:
- cluster:
    certificate-authority-data: <ca.crt value from cm-user-token-kv5j5 secret>
    server: <kubernetes server>
  name: <cluster>
contexts:
- context:
    cluster:<cluster>
    namespace: myns
    user: cm-user
  name: cm-user
current-context: cm-user 
users:
- name: cm-user
  user:
    token: <decoded token>

现在为 sa cm-user 创建角色和角色绑定(bind)。

---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: myns
  name: cm-user-role
rules:
- apiGroups: [""]
  resources: ["configmaps"]
  verbs: ["update", "get", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: cm-user-rb
  namespace: myns
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: cm-user-role
subjects:
- namespace: myns
  kind: ServiceAccount
  name: cm-user

我们完成了。现在使用此 kubeconfig 文件，您可以更新 mycm configmap。它没有任何其他特权。

$ kubectl get cm -n myns --kubeconfig kubeconfig-cm
NAME                 DATA   AGE
mycm                 0      8s

$ kubectl delete cm mycm -n myns --kubeconfig kubeconfig-cm
Error from server (Forbidden): configmaps "mycm" is forbidden: User "system:serviceaccount:myns:cm-user" cannot delete resource "configmaps" in API group "" in the namespace "myns"

关于azure - 创建具有受限权限的 kubeconfig，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/62301039/

25

4

0

文章推荐： kubernetes - 静态pod和DaemonSet有什么区别？

文章推荐： kubernetes - Kubernetes中的微服务发现服务

文章推荐： kubernetes - 在 Kubernetes 中更新 configmap 时刷新 daemonset pod

文章推荐： kubernetes - K8s http Liveness探针仅在1个工作节点上失败

haskell - 受限 Monoid 类型值组合
我有一个数据类型是 Monoid 的实例所以我可以得到很好的值(value)观组合: data R a = R String (Maybe (String → a)) instance Monoid
c# - 受限 AppDomain 中的代码访问安全异常
目标:我需要在权限非常有限的 AppDomain 中运行一些代码 - 它应该无法访问任何花哨或不安全的东西，除了少数我在别处定义的辅助方法。我所做的:我正在创建一个具有所需基本权限的沙箱 AppDo
linux - 使用创建的用户登录时 CLI 受限
在我的 VPS 中，我不知道为什么，但是当我对另一个用户执行 su 时，我得到的是: root@deb64:~# su john $ 带选项卡的自动完成不起作用，甚至是命令源。示例: root@deb
swift - Swift应用程序:将二进制文件标记为动态链接器的“受限”
我正在寻找一种方法，将二进制代码标记为“受限”，而代码是用swift编写的。我特别要说的是，将这些标志设置到链接器以防止动态库加载： -Wl,-sectcreate,__RESTRICT,__res
java - 由于所需库的限制，JFrame 受限
这个问题在这里已经有了答案: Access restriction on class due to restriction on required library rt.jar? (15 个答案)
javascript - “受限” HTML textarea/所见即所得编辑器？
我正在寻找一个基于Web的JavaScript textarea编辑器，该编辑器支持诸如可选字体，文本颜色，段落对齐等标准功能。但是，有一个相当大的约束：格式应始终应用于所有文本，而不是部分文本。文本
mysql - SELECT 和 JOIN 受限
我有以下查询: SELECT pro.* FROM tb_AutProposta pro, tb_AutParcelamento par WHERE pro.id = par.id 但是，想要将
scheme - 截断(受限) Racket 中的列表
我的问题实际上是一个逻辑问题，任务是将列表截断到 Racket 中的给定长度。也就是说，给定一个列表 (A B C)，给定长度为 2，我想要一个新列表 (A B)。限制是我们有可用功能的限制列表，我将
javascript - 如何循环进入 jQuery UI 受限 DatePicker
我试图将 jQuery UI DatePicker 限制为仅当前年份，到目前为止它在 This Demo 处工作正常。我使用以下代码来完成这项工作 $("#datepicker").datepick
kubernetes - Minikube:在尝试创建特权容器时，受限 PodSecurityPolicy 不受限制
我在 minikube 中启用了 podsecuritypolicy。默认情况下，它创建了两个 psp - 特权和受限。 NAME PRIV CAPS SELINUX
java - Google Cloud Endpoints SPI 受限
我使用 Google Cloud Endpoints 定义了一个简单的 API: @Api(name = "realestate", version = "v1") public class Real
performance - Tableau 受限 Data Extract 连接速度慢
我在Tableau中设计可视化，我的数据在Hive/hadoop中，数据量很大，当我尝试设计可视化时，查询运行非常非常慢，因为每次它尝试从 hadoop 中提取数据。所以对于任何可视化，简单的拖放
java - Tomcat 7 受限 (ContainerServlet) 错误
我已经在这个问题上停留了一段时间。我正在尝试访问我使用 HttpClient 和 Tomcat 7 实现的 ContainerServlet。我不断收到错误消息“Restricted(Containe
linux - 为什么 Linux 中的 Sempaphore 受限
由于使用了太多的 Websphere Message Broker 实例或类似的东西，我们刚刚用完了 Linux 机器上的信号量。我和一位同事想知道为什么这甚至是有限的 - 这只是一点内存，对吧？
c++-amp - 受限 C++-AMP 不支持类型 'string'
我正在尝试复制 boost::variant二维矢量转化为array .使用指令 copy(vectorName.begin(), extentName); .首先我得到错误，因为矢量类型是 vari
ruby-on-rails - 为什么我的 PostgreSQL 服务器 cpu 受限？
我的数据库非常受 cpu 限制，我找不到问题的根本原因。我目前有两个应用程序服务器，每个服务器都有一个 Rails api，通过 ruby-pg gem 连接到 PostgreSQL。两个应用程序
java - Java I/O 中的多线程是否受限于(或)CPU 受限
我已经开始学习多核编程和开发并行算法。这可以通过在 Java 中使用多线程轻松完成。因此，我创建了两个包含 10 行内容的文本文件，如下所示: This is the first line in fi
python - Jinja SandboxedEnvironment 和 Zope2 受限 Python
Jinja 的 sandbox Zope 2 RestrictedPython 似乎解决了类似的问题。有没有办法对它们进行分层，即在 Jinja 环境中使用 RestrictedPython 策略？用
Azure 数据工厂无法访问 IP 受限 VNet 中的 HDInsight 群集
我在 Azure VNet 上有一个 HDInsight Hadoop 群集(Linux，单独部署)(使用 NSG 限制客户端 IP)。 Azure SQL 防火墙有一个名为“允许访问 Azure 服
python - Zope 中 Python 脚本的 i18n(受限 python)
这就是我想要做的:我想使用“_”函数以 gettext 兼容的方式为我的 zmi python 脚本启用 i18n 支持。这是我到目前为止所做的。在我的 Zope 产品的模块中，我运行: impor

首页

博学

6Ren·AI

商城

azure - 创建具有受限权限的 kubeconfig