【发布时间】:2021-08-16 23:52:16
【问题描述】:
我想使用 µK8s 读取 K8s 的状态,但我不想拥有修改任何内容的权限。如何做到这一点?
以下内容将为我提供完全访问权限:
microk8s.kubectl Insufficient permissions to access MicroK8s. You can either try again with sudo or add the user digital to the 'microk8s' group:
sudo usermod -a -G microk8s digital sudo chown -f -R digital ~/.kube
The new group will be available on the user's next login.
【问题讨论】:
-
在限制集群角色/权限方面,更改配置文件的所有权不会给您带来太多好处。正如您在步骤 2 here 中看到的那样,做您所描述的事情是完全正常的。对于集群权限微调,您需要更改/配置 RBAC 规则。最后,明确描述目标肯定有助于为您提供一些解决方案。
-
在我的公司有一个政策,程序员不能在生产中修改任何东西(恕我直言)。当我们迁移到 K8S 时,我们希望为程序员启用只读访问,例如检查状态/部署等,但所有更改都必须经过 DEV-OPS 团队。只有 DEV-OPS 团队拥有
sudo和修改任何内容的权利。 -
.. 在 Unix/Linux 上,我们可以设置适当的文件/目录访问权限 - 只需
rx,降低 shell 限制(如最大内存/打开文件描述符),降低进程优先级(nice -19)。我们正在为 K8S 寻找类似的解决方案。当然有一种时尚是不让终端访问生产系统并使用 K8S 的所有 Gui/Web 工具,但终端访问是团队领导开发人员检查一切是否正确的额外检查。 -
特别是我们在低延迟(或延迟敏感)系统上工作,我们必须注意寻找 K8S 的节点。
标签: kubernetes microk8s