我们有多个k8s集群,许多团队将其用于微服务。我们仅将kubectl访问权限限制为受限成员。但是很多时候,我们收到允许readonly kubectl访问的请求。
许多k8s集群都在ec2上运行并通过kops进行了配置。
版本详细信息:
$ kubectl version --short
Client Version: v1.13.0
Server Version: v1.11.6
---
$ kops version
Version 1.12.2
我尝试创建一个test-pod,其中安装了kubectl,并附加了只读clusterrole和clusterrolebinding。我可以看到,来自Pod内的kubectl可以具有只读访问权限,但是需要我kubectl exec进入Pod。因此,我不知道该如何限制此访问权限?
我已经尝试过this,但仍然不知道如何限制访问权限。
答案 0 :(得分:1)
您需要使用户成为正在使用的任何身份验证系统,然后将角色绑定设置为针对那些用户,而不是服务帐户。服务帐户用于服务,而不是人类。