欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Kubernetes如何限制不同團(tuán)隊(duì)只能訪問各自namespace實(shí)現(xiàn)

 更新時(shí)間:2023年04月13日 10:08:53   作者:爛筆頭  
這篇文章主要為大家介紹了Kubernetes如何限制不同團(tuán)隊(duì)只能訪問各自namespace實(shí)現(xiàn)詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

場(chǎng)景說(shuō)明

假設(shè)有這么一個(gè)場(chǎng)景:一個(gè) Kubernetes 集群,有多個(gè) namespace,然后每個(gè) namespace 由一個(gè)工程團(tuán)隊(duì)去使用,不同的工程團(tuán)隊(duì)之間無(wú)法訪問和操作其他團(tuán)隊(duì)的 namespace 下的資源,實(shí)現(xiàn)資源和權(quán)限隔離的目的。

1 | 實(shí)現(xiàn)思路

可以利用 Kubernetes 的 RBAC 來(lái)實(shí)現(xiàn):

  • 在各自的 namespace 下創(chuàng)建一個(gè) ServiceAccount
  • 在這個(gè) namespace 下創(chuàng)建一個(gè) Role,定義這個(gè) Role 的權(quán)限規(guī)則(rules)
  • 將這個(gè) Role 和 ServiceAccount 進(jìn)行綁定
  • 最后生成一個(gè)kubeconfig,給到各個(gè)團(tuán)隊(duì)通過 kubectl 命令行調(diào)用

2 | 實(shí)現(xiàn)的腳本

需要的配置文件已經(jīng)寫好,如下:

  • create_kubeconfig.sh
#!/bin/bash
# Created by lanbitou 03.29.2023
ns=$1
name=$ns
user=$name
kubeconfig=$ns"-config"
# kubernetes master api server 地址, 需要替換掉
apiserver="https://123.456.789.ABC:6443"
cluster="cluster_name_"$ns
context=$cluster
name=$name ns=$ns envsubst < create-role-rolebinding.yaml | kubectl apply -f -
if [ $? != 0 ]
then
    echo "error, exit=1"
    exit 1
fi
token=$(kubectl -n $ns get secret $(kubectl -n $ns get secret | grep $user | awk '{print $1}') -o go-template='{{.data.token}}' | base64 -d)
echo $token
kubectl config set-credentials $user --token=$token --kubeconfig=$kubeconfig
kubectl config set-cluster $cluster --insecure-skip-tls-verify=true --server=$apiserver  --kubeconfig=$kubeconfig
kubectl config set-context $context --cluster=$cluster --user=$user --kubeconfig=$kubeconfig
kubectl config use-context $context --kubeconfig=$kubeconfig
echo $kubeconfig' is created in the current path.'

NOTE

這個(gè)腳本要在 Kubernetes admin 權(quán)限的 kubeconfig 下運(yùn)行。

  • create-role-rolebinding.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: $name
  namespace: $ns
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: $ns
  name: $name
rules:
- apiGroups: ["", "extensions", "apps"]
  #resources: ["pods", "services", "configmaps", "secrets","deployments","replicasets","statefulsets","daemonsets","pods/log","pods/exec","namespaces"]
  resources: ["*"]
  verbs: ["*"]
- apiGroups: ["batch"]
  resources: ["jobs","cronjobs"]
  verbs: ["*"]
- apiGroups: ["apiextensions.k8s.io"]
  resources: ["customresourcedefinitions"]
  verbs: ["*"]
# 如果發(fā)現(xiàn)生成的kubeconfig權(quán)限不足,可以根據(jù)提示,在這里添加對(duì)應(yīng)的rule
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: $name
  namespace: $ns
subjects:
- kind: ServiceAccount
  name: $name
  namespace: $ns
roleRef:
  kind: Role
  name: $name
  apiGroup: rbac.authorization.k8s.io

3 | 使用方式

假設(shè),有 zhangsan,lisi,wangwu 三個(gè)團(tuán)隊(duì),namespace 也是 zhangsan,lisi,wangwu。

那么執(zhí)行腳本如下:

$ bash create_kubeconfig.sh zhangsan
$ bash create_kubeconfig.sh lisi
$ bash create_kubeconfig.sh wangwu

即可在腳本所在目錄,生成對(duì)應(yīng)的kubeconfig:zhangsan-config, lisi-config 和 wangwu-config。 那么,不同團(tuán)隊(duì)對(duì)k8s集群的訪問就可以這樣進(jìn)行:

$ kubectl -n zhangsan --kube-config=zhangsan-config get all

以上就是Kubernetes如何限制不同團(tuán)隊(duì)只能訪問各自namespace實(shí)現(xiàn)的詳細(xì)內(nèi)容,更多關(guān)于Kubernetes限制namespace的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

最新評(píng)論