Как кластер okd / openshift может использоваться несколькими пользователями одновременно?

Question

Сценарий проблемы: Кластер OKD имеет двух администраторов кластера: User1 и User2.

Если User1 подключается к кластеру с помощью s sh и выполняет oc login, а параллельно User2 подключается к тому же кластеру с новым s sh сеанс и выполнение oc login.

Теперь, когда пользователь1 проверяет oc whoami, результат будет User2 (который должен иметь User1). Это создаст такие проблемы, как операции User1 (например: deployements) для cla sh с User2.

Как можно устранить эту проблему, чтобы два пользователя могли параллельно использовать кластер?

Примечание: и User1, и User2 настроены с LDAP, это создает проблему?

Answer 1

Как устранить эту проблему, чтобы два пользователя могли параллельно использовать кластер?

AFAIK, сеанс OKD по умолчанию сохраняется в $ HOME / .kube / config. Так что это зависит от сеанса учетной записи ОС. Если вы хотите использовать одновременно, вы должны использовать разные учетные записи ОС друг для друга. ИЛИ вы должны запускать o c login --config context_file_path для каждого выполнения для сохранения сеанса в другом файле контекста. Подробнее см. Правила загрузки и слияния .

Примечание: и User1, и User2 настроены с использованием LDAP, это создает проблему?

Нет , Конфигурация поставщика удостоверений на это не влияет.

Answer 2

Вы не должны делиться учетными записями пользователей таким способом. Каждый, кто входит в кластер, должен использовать клиент командной строки, используя собственный linux uid для своего домашнего каталога. Совместное использование учетных записей пользователей представляет собой уязвимость системы безопасности и лишает вас возможности отслеживать, кто что делает.

kubectl и oc принимают это за предварительное условие, поэтому вы столкнулись с этой проблемой.