kubernetes - 如何控制对 Kubernetes 中存储类的访问?
问题描述
是否可以限制特定用户从存储类动态配置磁盘的能力?或者,例如,只允许特定命名空间能够使用存储类?
解决方案
公平警告:我还没有测试过这个!
StorageClass 只是一个 API 端点,RBAC 通过限制对这些端点的访问来工作,所以理论上这应该可以正常工作:
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: sc_access
rules:
- apiGroups: ["storage.k8s.io", "core" ]
resources: [ "storageclass" ]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
如果这不起作用,您可以直接通过 NonResourceUrls 选项限制访问:
rules:
- nonResourceURLs: ["/storage.k8s.io/v1/storageclasses"]
verbs: ["get", "post"]
推荐阅读
- javascript - React-Native:ScrollView 未显示完整内容
- python - ValueError:无效端点:https://s3..amazonaws.com
- math - 查看矩阵:反转旋转还是不反转旋转?
- java - Java Diffie hellman 初始化 ECDHKeyAgreement
- java - 在服务器没有收到客户端的响应之前,每 5 秒重新启动一次服务器
- mongodb - 部分更新删除了 mongodb 中的所有其他字段
- woocommerce - DoCapture API 返回 ACK => Success 但 PAYMENTSTATUS => Pending 和 PENDINGREASON 是 paymentreview
- c# - 如何让用户响应命令 C# discord bot
- c++ - 为什么语句中的链接方法无法给出预期的结果?
- c++ - 无法将 bitblt() 移到透明窗口 c++/winapi 的中心