Google Cloud Platform に 2 つの異なる Kubernetes クラスタを作成しました。1 つは開発用、もう 1 つは本番用です。私たちのチーム メンバーには「編集者」の役割があります (ポッドの作成、更新、削除、一覧表示を行うことができます)。
Kubernetes が提供する RBAC 承認を使用して、本番クラスターへのアクセスを制限したいと考えています。ClusterRole次のように とを作成しましたClusterBindingRole。
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: prod-all
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: access-prod-all
subjects:
- kind: User
name: xxx@xxx.com
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: prod-all
apiGroup: rbac.authorization.k8s.io
ただし、ユーザーにはすでに「編集者」の役割 (すべてのクラスターへの完全なアクセス権) があります。したがって、kubernetes RBAC を使用して拡張するよりも、単純な「ビューアー」ロールを割り当てる必要があるかどうかはわかりません。
また、本番クラスターを一部のユーザーから完全に隠す方法があるかどうかも知りたいです。(私たちのクラスターは同じプロジェクトにあります)