問題タブ [kubernetes-security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - Google クラウド プラットフォーム上の kubernetes クラスタへのアクセスを制限する
Google Cloud Platform に 2 つの異なる Kubernetes クラスタを作成しました。1 つは開発用、もう 1 つは本番用です。私たちのチーム メンバーには「編集者」の役割があります (ポッドの作成、更新、削除、一覧表示を行うことができます)。
Kubernetes が提供する RBAC 承認を使用して、本番クラスターへのアクセスを制限したいと考えています。ClusterRole次のように とを作成しましたClusterBindingRole。
ただし、ユーザーにはすでに「編集者」の役割 (すべてのクラスターへの完全なアクセス権) があります。したがって、kubernetes RBAC を使用して拡張するよりも、単純な「ビューアー」ロールを割り当てる必要があるかどうかはわかりません。
また、本番クラスターを一部のユーザーから完全に隠す方法があるかどうかも知りたいです。(私たちのクラスターは同じプロジェクトにあります)
kubernetes - k8s gce1.8.7 - ポッドは禁止されています - 不明なユーザー system:serviceaccount:default:default
gce に mongo データベースがあります。(構成は以下を参照)
1.7.12-gke.1にデプロイすると、 すべて正常に動作します。これは、サイドカーがポッドとリンクを解決することを意味します
同じ設定を1.8.7-gke.1にデプロイすると、ポッドを一覧表示する権限が失われます。以下を参照してください。
何が変わったのかわかりません。ユーザー アカウントに特定のアクセス許可を割り当てる必要があると思いますが、そうですか?
私は何が欠けていますか?
エラーログ
構成: