我们在 Google Cloud Platform 上创建了 2 个不同的 Kubernetes 集群,一个用于开发,另一个用于生产。我们的团队成员具有“编辑”角色(因此他们可以创建、更新删除和列出 pod)
我们希望使用 Kubernetes 提供的 RBAC 授权来限制对生产集群的访问。我创建了 aClusterRole
和 a ClusterBindingRole
,如下所示:
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: prod-all
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: access-prod-all
subjects:
- kind: User
name: xxx@xxx.com
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: prod-all
apiGroup: rbac.authorization.k8s.io
但是用户已经拥有“编辑”角色(对所有集群的完全访问权限)。所以我不知道我们是否应该分配一个简单的“查看者”角色而不是使用 kubernetes RBAC 扩展它。
我还想知道是否有办法对某些用户完全隐藏生产集群。(我们的集群在同一个项目中)