namespaces - 如何创建仅限于命名空间的 Kubernetes 用户

Question

我很难尝试设置我的(测试)Kubernetes 集群，以便它有几个用户和几个命名空间，而用户只能看到特定的命名空间。有没有办法做到这一点？如果是，需要什么

创建用户

将用户限制在一个或多个特定的命名空间

使用 Kubernetes(通过 kubectl)作为特定用户

Answer 1

您可以设置 ABAC ( http://kubernetes.io/docs/admin/authorization/ ) 并将用户限制为命名空间:

在策略文件中，如果您的用户是 bob，您将拥有类似的内容。并且您想将他限制在 namespace projectCaribou :

{
  "apiVersion": "abac.authorization.kubernetes.io/v1beta1",
  "kind": "Policy",
  "spec": {
    "namespace": "projectCaribou",
    "readonly": true,
    "resource": "pods",
    "user": "bob"
  }
}