kubernetes - Kubernetes ABAC模式不起作用

Question

我发现有几个人试图解决这个问题，只有一些相关的帖子here和here却没有为我解决。

问题:
我想使用ABAC策略为群集创建一个只读用户。
我的集群有3个主服务器和3个工作器，版本1.4.7托管在AWS上。

我在所有3个master上都这样编辑了manifests / apiserver.yml(添加了这3行-当然，在文件底部安装了相关路径等。):

--token-auth-file = / etc / kubernetes / policy / user-tokens.csv

--authorization-mode = ABAC

--authorization-policy-file = / etc / kubernetes / policy / apiusers.yml

我的apiuser.yml看起来像这样:

{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"group": "system:authenticated", "readonly": true, "nonResourcePath": "*", "namespace": "*", "resource": "*", "apiGroup": "*"}}

我的users-token.csv看起来像这样:

tdU0ynyO3wG6UAzwWP0DO7wvF2tH8pbH,bob,bob

我的kubeconfig文件包含以下内容:

users:
- name: bob
  user:
    token: tdU0ynyO3wG6UAzwWP0DO7wvF2tH8pbH

当我尝试 kubectl get nodes失败时，如果相关，我可以用--v = 8打印输出，但基本上说的是 Forbidden(403)。
在我看来，我这里缺少基本的东西，该政策已经到位，并且阻止了所有人和所有人，尽管它应该允许经过身份验证的用户只读权限。

任何帮助或建议，将不胜感激。

Answer 1

在1.5中添加了system:authenticated组

在1.5之前，您可以使用"user":"*"