在kubernetes中使用RBAC控制应用程序对不同命名空间的访问
我试图找到应用程序在kubernetes中进行通信所需的最低权限,用于以下场景
-
null
下面是我与服务帐户关联的角色
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
name: no-access-cr
rules:
- apiGroups: [""] # "" indicates the core API group
resources: [""]
verbs: [""]
请帮忙!!!
共有1个答案
应用于应用程序的RBAC策略与网络(L3/L4)本身无关。它们与对k8s API(kube-api服务器)的L7访问相关,因此也与对通过这些API公开的k8s对象的访问相关。
如果你想在网络级别(L3/L4)上限制应用程序之间的访问,你需要应用网络策略,也取决于网络插件,例如,可以使用calico策略。
-
部署了带有API服务器标志的Kubernetes,以支持“RBAC,Alwaysallow”授权模式,设置RBAC超级用户,并通过.启用RBAC API 创建了名称空间、角色和角色绑定,目的是(a)服务帐户和系统组件仍然可以有效地具有“alwaysallow”访问,以及(b)组中的任何实体都可以使用该YAML文件访问名称空间中的任何内容。注意:此链接的内容已经更改,请参见我在问题底部工作时获得的Y
-
为什么using指令在包含在匿名命名空间中时表现得好像出现在全局范围?
-
我在Symfony2中有REST API,在AngularJS中有客户端应用。我有用户,用户有Symfony2角色(ROLE_ADMIN,ROLE_USER)。 在security.yml是部分,但在这里我只能设置Symfony2路由路径。 如何阻止对路径的访问,例如: 对于角色为_USER或匿名的用户? (#/某物-是Angular url)
-
亲爱的,我已经部署了如下示例服务: 当我执行get nodes-o wide时,如下所示, 任何帮助。谢了。
-
我得到了(超过)两个Api POSTendpoint。每一个都需要一个json作为参数。但是当我在两个endpoint参数类中使用相同的类名负载时,Swagger就不起作用了。当我改变其中的一个,例如从有效载荷到有效载荷1时,它就不起作用了。当然,我在包装类中设置了正确的名称空间,以便它找到负载。但我希望每次都使用相同的名称“有效载荷”。如何使用相同的类名负载?在这两种情况下,我都可以保留json