система кубернетов: механизм обнаружения ролей - PullRequest
Новая
       131

система кубернетов: механизм обнаружения ролей

1 голос
/ 28 мая 2020

Я хочу понять, как роль system: discovery работает в kubernetes. Я могу видеть ниже нересурсные URL-адреса - это привилегии, содержащиеся в system: discovery role 

root@kubemas:~# kubectl describe clusterrole system:discovery
Name:         system:discovery
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
             [/api/*]           []              [get]
             [/api]             []              [get]
             [/apis/*]          []              [get]
             [/apis]            []              [get]
             [/healthz]         []              [get]
             [/livez]           []              [get]
             [/openapi/*]       []              [get]
             [/openapi]         []              [get]
             [/readyz]          []              [get]
             [/version/]        []              [get]
             [/version]         []              [get]

Из описания clusterrolebinding, 

root@kubemas:~# kubectl describe clusterrolebindings.rbac.authorization.k8s.io system:discovery
Name:         system:discovery
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
Role:
  Kind:  ClusterRole
  Name:  system:discovery
Subjects:
  Kind   Name                  Namespace
  ----   ----                  ---------
  Group  system:authenticated

Я вижу только систему: аутентифицированная группа может получить доступ к URL-адресам без ресурсов. Если я выполняю команду ниже, я могу понять, что пользователь запроса - это система: анонимный, который входит в группу system: без аутентификации, поэтому не разрешено видеть вывод 

root@kubemas:~# curl -k https://192.168.56.101:6443/api
{
  "kind": "Status",
  "apiVersion": "v1",
  "metadata": {

  },
  "status": "Failure",
  "message": "forbidden: User \"system:anonymous\" cannot get path \"/api\"",
  "reason": "Forbidden",
  "details": {

  },
  "code": 403

Но я ожидал того же запроса снизу, который я пытаюсь получить версию kubernetes, которая также не является URL-адресом ресурса. Но я могу получить вывод версии без ошибка.Так как это работает.Я неправильно понял этот механизм? 

root@kubemas:~# curl -k https://192.168.56.101:6443/version
{
  "major": "1",
  "minor": "18",
  "gitVersion": "v1.18.3",
  "gitCommit": "2e7996e3e2712684bc73f0dec0200d64eec7fe40",
  "gitTreeState": "clean",
  "buildDate": "2020-05-20T12:43:34Z",
  "goVersion": "go1.13.9",
  "compiler": "gc",
  "platform": "linux/amd64"
}root@kubemas:~#

1 Ответ

3 голосов
/ 28 мая 2020

system:public-info-viewer - роль кластера, предоставляющая доступ к /version. Эта кластерола привязана к группам system:authenticated и system:unauthenticated. Поскольку он привязан к группе system:unauthenticated, вы можете получить к нему доступ.

Из документов

Эта кластерола Разрешает доступ только для чтения к несекретной информации о кластере. Представлено в Kubernetes v1.14. 

kubectl describe clusterrole system:public-info-viewer
Name:         system:public-info-viewer
Labels:       kubernetes.io/bootstrapping=rbac-defaults
Annotations:  rbac.authorization.kubernetes.io/autoupdate: true
PolicyRule:
  Resources  Non-Resource URLs  Resource Names  Verbs
  ---------  -----------------  --------------  -----
             [/healthz]         []              [get]
             [/livez]           []              [get]
             [/readyz]          []              [get]
             [/version/]        []              [get]
             [/version]         []              [get]
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...