【问题标题】:k8s access control to single podk8s对单个pod的访问控制
【发布时间】:2022-01-18 04:52:33
【问题描述】:

我正在尝试为使用部署仪表板上的“shell”UI 按钮设置访问控制,并且只需要一个 pod。通过使用 k8s RBAC auth 模型,我需要这样的东西并绑定到一个角色:

- apiGroups: [""]
  resources: ["pods/exec"]
  resourceNames: [“api-server-f5b95446b-58wz4”]
  verbs: ["create"]

但是,后缀“-f5b95446b-58wz4”是在部署期间随机生成的,并且会不断变化。所以这个解决方案行不通。

如果资源名称可以支持通配符字符串,那么它将解决我的问题,但看起来这是一个已知差距并且不支持 ATM (https://github.com/kubernetes/kubernetes/issues/56582)

有人知道是否有更好的方法可以实现这一目标吗?谢谢!

【问题讨论】:

  • 在这种情况下,Webhook 可能会有所帮助,因为目前不存在需求

标签: kubernetes deployment


【解决方案1】:

您可以使用 Kyverno 之类的策略引擎来控制什么可以/不可以。例如,防止 exec 进入特定的 pod 过滤器,例如 this

【讨论】:

    猜你喜欢
    • 2021-11-19
    • 2021-07-01
    • 1970-01-01
    • 2020-05-30
    • 2023-03-16
    • 1970-01-01
    • 1970-01-01
    • 2018-09-02
    • 2018-01-02
    相关资源
    最近更新 更多