gpt4 book ai didi

security - Kubernetes - 动态命名空间/安全

转载 作者:行者123 更新时间:2023-12-02 12:19:24 25 4
gpt4 key购买 nike

user1 和 user2 在 K8s 集群中被分配了“管理员”角色,他们只能在分配给他们的命名空间内工作。在下面的例子中,ns1 和 ns2 分别

user1 --> 分配的命名空间 ns1

user2 --> 分配的命名空间 ns2

user3 --> 分配了命名空间 ns3 并且还分配了命名空间管理员角色。
命名空间管理员角色 (user3) 应该能够在命名空间 ns3 中创建任何资源以及他在集群中创建的任何新命名空间。这个角色应该能够动态地创建新的命名空间。但是 user3 不应该有权访问不是由用户“user3”创建的 ns1 或 ns2 命名空间。

user3 将动态创建新的命名空间并在这些命名空间中部署工作负载。

这可以解决吗?这类似于 Openshift 的“项目”概念。

最佳答案

是的,您可以使用 Role 限制 user3 仅在命名空间 ns3 中创建/删除资源。将该角色绑定(bind)到 user3。

然后你可以使用 ClusterRole只能访问 namespaces资源并允许它到create, delete, etc
像这样的东西:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: my-namespace
name: user-namespace-role
rules:
- apiGroups: [""]
resources: ["services", "endpoints", "pods"] # etc...
verbs: ["get", "list", "create"] # etc

然后:
kubectl create rolebinding user-namespace-binding --role=user-namespace-role --user=user3 --namespace=my-namespace

然后:
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: cluster-role-all-namespaces
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"] # etc

然后:
kubectl create clusterrolebinding all-namespaces-binding --clusterrole=cluster-role-all-namespaces --user=user3

对于 user1 和 user2,您可以创建 RoleRoleBinding因其独特的命名空间。

关于security - Kubernetes - 动态命名空间/安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52669427/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com