在 openshift origin 3.3 中授予对 pod 终端的访问权限答案

【问题标题】：Grant access to pod terminal in openshift origin 3.3在 openshift origin 3.3 中授予对 pod 终端的访问权限
【发布时间】：2016-12-09 16:08:05
【问题描述】：

我有一个在特定项目中具有“查看”角色的用户。

我希望该用户能够通过 GUI 控制台访问项目 POD 上的“终端”选项（现在我收到一条错误消息，提示“无法连接到容器。您有足够的权限吗？”）。

我应该为这个用户分配什么角色？或者我可以创建一个具有 pods/exec 访问权限的自定义角色吗？

谢谢

【问题讨论】：

您需要创建一个自定义角色。还要注意，终端访问也是封闭的，因此您无法执行到具有您无权创建的安全设置的容器中 - 例如 hostPath 访问、以 root 身份运行、以特权身份运行。因此，除非您拥有集群管理员权限，否则您今天无法执行到构建容器中。
好的克莱顿，非常感谢您的回答

【解决方案1】：

Clayton 的回答是正确的，您可以创建自定义角色，但您应该仔细考虑 exec 是否是适当的权力级别以及如何控制升级向量。

如果您使用查看器并添加授予他们执行权限，则该用户突然变成编辑器的粗略等价物。他有权更改为您的服务提供服务的 pod 的状态，并且有权查看自动挂载的服务帐户令牌。看到这个令牌，他就可以使用任何服务帐户（默认情况下只是一个图像提取器），但是像 jenkins 这样的集成会为服务帐户分配编辑权限。

【讨论】：