受限制的Kubernetes仪表板?

时间:2017-08-28 09:05:46

标签: kubernetes dashboard kubernetes-security

是否可以拥有受限 Kubernetes仪表板?我们的想法是在群集中运行kubectl proxy的pod(使用基本HTTP身份验证保护)以快速了解状态:

  • 播客的日志输出
  • 正在运行服务和广告
  • 当前CPU /内存使用量

但是,我希望用户能够做到特权"动作,如创建新的pod,删除pod或访问机密。

是否有一些选项可以使用指定用户或限制权限启动仪表板?

2 个答案:

答案 0 :(得分:3)

根据lwolf的回答,我使用the kubernetes-dashboard.yaml并将其更改为在默认命名空间中的从属设备上运行。

重要的更改是kind: ClusterRole, name: view部分,它将视图角色分配给信息中心用户。

apiVersion: v1
kind: ServiceAccount
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: ro-dashboard
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: ro-dashboard
  labels:
    k8s-app: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: view
subjects:
- kind: ServiceAccount
  name: ro-dashboard
  apiGroup: ''
  namespace: default
---
kind: Deployment
apiVersion: extensions/v1beta1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: ro-dashboard
spec:
  replicas: 1
  revisionHistoryLimit: 0
  selector:
    matchLabels:
      k8s-app: kubernetes-dashboard
  template:
    metadata:
      labels:
        k8s-app: kubernetes-dashboard
    spec:
      containers:
      - name: kubernetes-dashboard
        image: gcr.io/google_containers/kubernetes-dashboard-amd64:v1.6.3
        ports:
        - containerPort: 9090
          protocol: TCP
        livenessProbe:
          httpGet:
            path: /
            port: 9090
          initialDelaySeconds: 30
          timeoutSeconds: 30
      serviceAccountName: ro-dashboard
---
kind: Service
apiVersion: v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: ro-dashboard
spec:
  type: LoadBalancer
  ports:
  - port: 80
    targetPort: 9090
  selector:
    k8s-app: kubernetes-dashboard

答案 1 :(得分:2)

应该可以在kubernetes中启用RBAC。 您无需使用kubectl proxy运行广告连播。 我不确定是否可以为同一个pod提供2组不同的权限,但最糟糕的情况是你必须运行2个仪表板。

基本上,您需要做的是:

相关问题
最新问题