小贝子编程

简单 RBAC 示例的问题



我想做一个非常简单的例子来学习如何在 kubernetes 中使用 RBAC 授权。因此,我使用文档中的示例:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: dev
name: dev-readpods-role
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: dev-tester-rolebinding
namespace: dev
subjects:
- kind: User
name: Tester
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: dev-readpods-role
apiGroup: rbac.authorization.k8s.io

将创建角色和角色绑定。

当我使用测试器登录并尝试时

kubectl get pods -n dev

我得到

Error from server (Forbidden): pods is forbidden: User "<url>:<port>/oidc/endpoint/OP#Tester" cannot list pods in the namespace "dev"

我在这里读到(Kubernetes 中的 RBAC 错误(,API 服务器必须以 --authorization-mode=...,RBAC 启动。我该如何检查?我在其他地方读到,如果我跑步

kubectl api-versions | findstr rbac

并查找应激活的条目 RBAC。这是真的吗?

我做错了什么?有没有很好的故障排除方法?

谢谢!

附言我在 IBM Cloud Private 中运行 kubernetes。

在 ICP 中,使用 Teams 看起来很令人鼓舞(我认为是 ICP 自己的术语(。尝试从它开始。但是您需要一个 ICP 之外的 LDAP 服务器。 https://www.ibm.com/support/knowledgecenter/en/SSBS6K_2.1.0.3/user_management/admin.html

您需要确定 apiserver 的调用,以查看传递给它的 --authorization-mode 标志。通常,它包含在 systemd 单元文件或 pod 清单中。我不确定 IBM Cloud 如何启动 apiserver

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium