超级会员免费看
深入探索Kubernetes集群的用户连接与权限管理
1. 以超级用户身份连接Kubernetes集群
Kubernetes默认用户由外部进行全面管理。对于未托管的Kubernetes集群(如部署在数据中心或IaaS上的集群),通常会为客户端设置基于证书的身份验证,或者采用OpenID Connect,利用Kubernetes API信任的身份签名的ID令牌。后者在Kubernetes API认证及后续授权方面,能实现更面向生产的用户管理策略。
而使用像Oracle Kubernetes Engine(OKE)这样的托管服务则更为便捷。在OKE集群中,只要IAM用户所属的组具备适当的IAM策略,这些用户就能直接被识别并成功认证。但认证之后还需进行授权。若IAM用户所属的组被授予在集群所在的特定区域管理集群的权限,Kubernetes OCI授权器会自动将其视为集群管理员,使其能够完全访问该特定集群的整个Kubernetes API。其余IAM用户则必须显式绑定到预定义或自定义的RBAC角色。
以sandbox - admin用户为例,该用户属于sandbox - admins组,此组被授予对Sandbox区域内所有资源的完全管理权限,因此Kubernetes API会将其识别为集群管理员。要以该用户身份连接Kubernetes API,首先需要一个kubeconfig文件,这是一个YAML文件,包含了以指定用户身份连接Kubernetes API所需的所有信息。可以使用OCI控制台或OCI CLI生成针对特定IAM用户的kubeconfig文件,具体操作如下:
$ CLUSTER_OCID=`oci c
订阅专栏 解锁全文
扫一扫
99
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
