团队,我在kubernetes上具有以下群集角色,该角色允许访问所有内容,但我不想限制节点级别的命令并允许所有休息。
要在下面进行哪些修改? 基本上,用户应该可以运行
kubectl get all --all-namespaces
但不应显示节点信息
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
annotations:
rbac.authorization.kubernetes.io/autoupdate: "true"
labels:
kubernetes.io/bootstrapping: rbac-defaults
name: cluster-admin-test
rules:
- apiGroups:
- '*'
resources:
- '*'
verbs:
- '*'
- nonResourceURLs:
- '*'
verbs:
- '*'
答案 0 :(得分:2)
规则纯粹是加法的,这意味着您不能限制规则。
因此,您将需要列出所有可访问的resources,但要列出具有相应operations的“节点”
例如:
cd <your_donwload_path>
pip install PyAudio‑0.2.11‑cp37‑cp37m‑win_amd64.whl
此外,强烈建议不要更改 cluster-admin 角色。 值得创建一个新角色并为其分配用户。