kubernetes - GCloud IAM 角色中的权限如何在 Kubernetes 集群中实现?
问题描述
我在 GKE 上运行 Kubernetes 应用程序。在 GCP IAM 控制台中,我可以看到几个内置角色,例如Kubernetes Engine Admin. 每个角色都有一个 ID 和与之关联的权限——例如,Kubernetes Engine Admin有 IDroles/container.admin和大约 300 个权限,每个都类似于container.apiServices.create.
在 Kubernetes 集群中,我可以运行:
kubectl get clusterrole | grep -v system: # exclude system roles
这将返回以下内容:
NAME AGE
admin 35d
cloud-provider 35d
cluster-admin 35d
cluster-autoscaler 35d
edit 35d
gce:beta:kubelet-certificate-bootstrap 35d
gce:beta:kubelet-certificate-rotation 35d
gce:cloud-provider 35d
kubelet-api-admin 35d
view 35d
我在此表中没有看到任何反映 GCP IAM 中角色的角色。
既然如此,GCP IAM 角色是如何在集群中实施/执行的?除了使用 RBAC 之外,Kubernetes 在进行权限检查时还会与 GCP 通信吗?
解决方案
RBAC系统可让您对用户访问集群上运行的 API 资源的方式进行细粒度控制。您可以使用 RBAC 为集群的用户动态配置权限,并定义他们可以与之交互的资源类型。
此外,GKE 还使用Cloud Identity and Access Management (IAM)来控制对集群的访问。
希望这可以帮助!
推荐阅读
- winforms - 在主 UI 线程上更新控件的正确方法是什么
- testing - Windows 中 xammp 中的 Testlink 安装失败
- python - 使用 SODA API Python 从数据集中导入所有行
- android - androidx.appcompat.view.menu.MenuItemImpl 无法转换为 android.widget.TextView
- python - 一旦将字段转换为Django中的属性,如何防止字段从模型中“删除”?
- rabbitmq - RabbitMQ 联合到同一服务器上的虚拟主机
- curl - 如何使用终端的 curl 和 jq 将令牌保存在环境变量中
- python - 正则表达式提取复杂文本中的电话号码
- javascript - 我们可以在铯地图上上传 tiff 图像吗?
- ruby-on-rails - 如何在 Rails API 中使用 FK 检索模型实例?