Создание панели управления kubernetes в ограниченном кластере, где вам запрещены роли, привязка к ролям и т. Д. c и у вас нет доступа за пределы пространства имен - PullRequest
Новая
       52

Создание панели управления kubernetes в ограниченном кластере, где вам запрещены роли, привязка к ролям и т. Д. c и у вас нет доступа за пределы пространства имен

0 голосов
/ 04 апреля 2020

У меня есть доступ только к одному пространству имен внутри кластера, и это тоже ограничено. 

kind: Role

kind: ClusterRole

kind: RoleBinding

kind: ClusterRoleBinding

мне запрещены. Так что я не могу создать панель управления kubernetes в соответствии с рекомендуемым yaml.

Как обойти это?

1 Ответ

1 голос
/ 06 апреля 2020

Невозможно достичь этого, если вы не попросите кого-то с достаточными правами создать объекты, которые вы не можете для вас.

Здесь - это образец манифеста, используемый для применения панели мониторинга к кластеру. Как видите, вы должны иметь возможность управлять Role, ClusterRole, RoleBinding и ClusterRoleBinding, чтобы применить его.

Таким образом, невозможно создать его с правами, которые у вас есть, так как они необходимы в этом случае.

Вот часть, затронутая отсутствием ваших прав: 

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
rules:
  # Allow Dashboard to get, update and delete Dashboard exclusive secrets.
  - apiGroups: [""]
    resources: ["secrets"]
    resourceNames: ["kubernetes-dashboard-key-holder", "kubernetes-dashboard-certs", "kubernetes-dashboard-csrf"]
    verbs: ["get", "update", "delete"]
    # Allow Dashboard to get and update 'kubernetes-dashboard-settings' config map.
  - apiGroups: [""]
    resources: ["configmaps"]
    resourceNames: ["kubernetes-dashboard-settings"]
    verbs: ["get", "update"]
    # Allow Dashboard to get metrics.
  - apiGroups: [""]
    resources: ["services"]
    resourceNames: ["heapster", "dashboard-metrics-scraper"]
    verbs: ["proxy"]
  - apiGroups: [""]
    resources: ["services/proxy"]
    resourceNames: ["heapster", "http:heapster:", "https:heapster:", "dashboard-metrics-scraper", "http:dashboard-metrics-scraper"]
    verbs: ["get"]
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
rules:
  # Allow Metrics Scraper to get metrics from the Metrics server
  - apiGroups: ["metrics.k8s.io"]
    resources: ["pods", "nodes"]
    verbs: ["get", "list", "watch"]

---

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: kubernetes-dashboard
subjects:
  - kind: ServiceAccount
    name: kubernetes-dashboard
    namespace: kubernetes-dashboard

---

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: kubernetes-dashboard
subjects:
  - kind: ServiceAccount
    name: kubernetes-dashboard
    namespace: kubernetes-dashboard
    ```
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...