Управление доступом к кластерам Kubernetes

Данная статья подходит для кластеров Kubernetes версии 1.23 и выше. Если версия кластера более ранняя, то ее можно обновить, чтобы использовать такие же возможности.

Управлять доступом к кластерам Kubernetes в Linx Cloud можно на уровне отдельных проектов в личном кабинете, т. е. управление зависит от роли, назначенной пользователю в личном кабинете Linx Cloud, и нет необходимости в дополнительных конфигурированиях прав пользователей. Это благодаря технологию единого входа (Single Sign-On, SSO), при которой роли Kubernetes тесно интегрированы с ролями личного кабинета Linx Cloud. Например, отключение учетной записи пользователя или отзыв роли в личном кабинете, приводит к отзыву прав на доступ в кластер Kubernetes.

• SSO нельзя отключить.
  
• Пользователю можно выдать административный доступ только для кластеров Kubernetes в проекте. Чтобы это сделать нужно назначить этому пользователю роль «Администратор Kubernetes» вместо других ролей с более широкими полномочиями.
  
• Подробную информациб об обновлении кластера без SSO до версии с SSO можно найти здесь.
  
• Пользователи, имеющие роль «Администратор проекта» или «Суперадминистратор», имеют право назначать роли другим пользователям.
  
• Любой пользователь, независимо от роли, может получить kubeconfig и подключиться к кластеру, но у него будут ограничены права в кластере в соответствии с ролью. Команда, чтобы узнать все доступные права на ресурсы кластера Kubernetes для определенной роли:
  

Роли пользователей личного кабинета влияют:

• На возможность совершения операций с кластерами через личный кабинет.
  
• На права доступа пользователей ко всем кластерам в рамках проекта.

Роли личного кабинета и их права в кластерах Kubernetes:

• Владелец проекта
  
• Администратор проекта
  
• Суперадминистратор
  
• Администратор Kubernetes
  

Соответствующая роль Kubernetes: 

.

Роль 

— административный уровень доступа, возможно чтение и запись к большинству объектов в пространстве имен (включая возможность создавать другие роли и связывания ролей), если назначается в пределах пространства имен (namespace) через связывание ролей (RoleBinding).

Нет доступа на запись к ресурсной квоте (resource quota) или к самому пространству имен, а также доступа на запись к эндпойнтам (endpoints) кластеров Kubernetes v1.22+

• Оператор Kubernetes
  

Соответствующая роль Kubernetes: 

.

С ролью

у пользователя есть доступ на чтение и запись к большинству объектов в пространстве имен, а также доступ к секретам и запуску подов от имени любого сервисного аккаунта в пространстве имен. Данная роль может быть использована для получения доступа к API от имени любого сервисного аккаунта в пространстве имен.

С этой ролью нет возможности просматривать, изменять, связывать роли. Также нет доступа на запись к эндпойнтам (endpoints) кластеров Kubernetes v1.22+.

• Аудитор Kubernetes
  

Соответствующая роль Kubernetes: 

.

С ролью

у пользователя есть доступ на чтение к большинству объектов в пространстве имен.

Просмотр, изменение и связывание ролей недоступны для этой роли, также нет доступа к секретам.

Больше информации о ролях Kubernetes можной найти в статье.