kubernetes: как установить разрешения для "top node" и "top pod"?

Question

Надеясь на некоторые указатели, у меня есть вопрос: какую роль / разрешения мне нужно добавить для пользователя, имеющего Clusterrole: view, чтобы позволить этому пользователю использовать команды "top node" и "top pod" в kubectl? Мы используем kubectl версии 1.15.x (клиент) в кластере 1.15.7 (AKS), хотя я не уверен, что это важная информация. Я попытался найти это в документации по k8s, но не смог найти описание ссылки на разрешение, только некоторые примеры и рекомендации.

Заранее спасибо!

С уважением, Ludo

Answer 1

Нет определенного разрешения c для top node и top pod. Разрешение на то, можете ли вы сделать get nodes и get pods. Если есть разрешение на get nodes и get pods, то вы также можете набрать top nodes и top pods. Разрешение на выполнение get nodes или get pods определяется через RBA C в кубернетах.

Сервер metri c просто предоставляет метрики различных ресурсов, таких как модули, узлы, собирая и агрегируя их из разных источники, такие как kubelet. Вот почему нет разрешения для самой метрики, скорее, это разрешение на ресурсы, для которых вы хотите просмотреть метрики.

API, который вызывается при выполнении kubectl top pods, это

GET https://API-SERVER-IP:6443/apis/metrics.k8s.io/v1beta1/namespaces/default/pods

Таким образом, вы можете видеть метрики для контейнеров только в пространстве имен по умолчанию, когда вы нацелены на пространство имен по умолчанию. Теперь то, можете ли вы получить pods в пространстве имен по умолчанию, регулируется RBA C.