Dex, dex-k8s-authenticator, GitHub เดเดจเตเดจเดฟเดต เดเดชเดฏเตเดเดฟเดเตเดเต เดเดฐเต เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดเตเดฒเดธเตเดฑเตเดฑเดฑเดฟเดฒเตเดเตเดเต เดเดเตเดธเดธเต เดธเตเดทเตเดเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเตเดณเตเดณ เดเดฐเต เดเตเดฏเตเดเตเดเตเดฑเดฟเดฏเตฝ เดเดพเตป เดจเดฟเดเตเดเดณเตเดเต เดถเตเดฐเดฆเตเดงเดฏเดฟเตฝเดชเตเดชเตเดเตเดคเตเดคเตเดจเตเดจเต.
เดฑเดทเตเดฏเตป เดญเดพเดทเดฏเดฟเดฒเตเดณเตเดณ เดเตเดฌเตเตผเดจเตเดฑเตเดฑเดธเต เดเดพเดฑเตเดฑเดฟเตฝ เดจเดฟเดจเตเดจเตเดณเตเดณ เดชเตเดฐเดพเดฆเตเดถเดฟเด เดฎเตเดฎเตเดฎเต
เดเดฎเตเดเด
เดตเดฟเดเดธเดจเดคเตเดคเดฟเดจเตเด เดเตเดฏเตเด เดเตเดฎเดฟเดจเตเด เดเดฒเดจเดพเดคเตเดฎเดเดฎเดพเดฏ เด เดจเตเดคเดฐเตเดเตเดทเด เดธเตเดทเตเดเดฟเดเตเดเดพเตป เดเดเตเดเตพ เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดเดชเดฏเตเดเดฟเดเตเดเตเดจเตเดจเต. เด เดคเดฟเดจเดพเตฝ เดกเดพเดทเตโเดฌเตเตผเดกเดฟเดจเตเด kubectl-เดจเตเด เดเตเดฒเดธเตเดฑเตเดฑเดฑเดฟเดฒเตเดเตเดเต เด เดตเตผเดเตเดเต เดเดเตโเดธเดธเต เดจเตฝเดเดพเตป เดเดเตเดเตพ เดเดเตเดฐเดนเดฟเดเตเดเตเดจเตเดจเต. OpenShift เดชเตเดฒเตเดฏเดฒเตเดฒ, vanilla Kubernetes-เดจเต เดจเตเดฑเตเดฑเตเดตเต เดชเตเดฐเดพเดฎเดพเดฃเตเดเดฐเดฃเด เดเดฒเตเดฒ, เด เดคเดฟเดจเดพเตฝ เดเดเตเดเตพ เดเดคเดฟเดจเดพเดฏเดฟ เดฎเตเดจเตเดจเดพเด เดเดเตเดทเดฟ เดเดชเดเดฐเดฃเดเตเดเตพ เดเดชเดฏเตเดเดฟเดเตเดเตเดจเตเดจเต.
เด เดเตเตบเดซเดฟเดเดฑเตเดทเดจเดฟเตฝ เดเดเตเดเตพ เดเดชเดฏเตเดเดฟเดเตเดเตเดจเตเดจเดคเต:
- - kubectl config เดธเตเดทเตเดเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเตเดณเตเดณ เดตเตเดฌเต เดเดชเตเดฒเดฟเดเตเดเตเดทเตป
- โ OpenID เดเดฃเดเตเดเต เดชเตเดฐเตเดตเตเดกเตผ
- GitHub - เดเดเตเดเดณเตเดเต เดเดฎเตเดชเดจเดฟเดฏเดฟเตฝ GitHub เดเดชเดฏเตเดเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเดพเตฝ
เดเดเตเดเตพ Google OIDC เดเดชเดฏเตเดเดฟเดเตเดเดพเตป เดถเตเดฐเดฎเดฟเดเตเดเต, เดชเดเตเดทเต เดจเดฟเตผเดญเดพเดเตเดฏเดตเดถเดพเตฝ เดเดเตเดเตพ เดเตเดฐเตเดชเตเดชเตเดเตพ เดเดชเดฏเตเดเดฟเดเตเดเต เด เดต เดเดฐเดเดญเดฟเดเตเดเดพเตป, เด เดคเดฟเดจเดพเตฝ GitHub-เดฎเดพเดฏเตเดณเตเดณ เดธเดเดฏเตเดเดจเด เดเดเตเดเตพเดเตเดเต เดจเดจเตเดจเดพเดฏเดฟ เดฏเตเดเดฟเดเตเดเต. เดเตเดฐเตเดชเตเดชเต เดฎเดพเดชเตเดชเดฟเดเดเต เดเตเดเดพเดคเต, เดเตเดฐเตเดชเตเดชเตเดเดณเต เด เดเดฟเดธเตเดฅเดพเดจเดฎเดพเดเตเดเดฟ RBAC เดจเดฏเดเตเดเตพ เดธเตเดทเตเดเดฟเดเตเดเดพเตป เดเดดเดฟเดฏเดฟเดฒเตเดฒ.
เด เดคเดฟเดจเดพเตฝ, เดเดฐเต เดตเดฟเดทเตเดตเตฝ เดชเตเดฐเดพเดคเดฟเดจเดฟเดงเตเดฏเดคเตเดคเดฟเตฝ เดเดเตเดเดณเตเดเต Kubernetes เด เดเดเตเดเดพเดฐ เดชเตเดฐเดเตเดฐเดฟเดฏ เดเดเตเดเดจเตเดฏเดพเดฃเต เดชเตเดฐเดตเตผเดคเตเดคเดฟเดเตเดเตเดจเตเดจเดคเต:
เด
เดเดเตเดเดพเดฐ เดชเตเดฐเดเตเดฐเดฟเดฏ
เดเตเดฑเดเตเดเตเดเตเดเดฟ เดตเดฟเดถเดฆเดพเดเดถเดเตเดเดณเตเด เดชเตเดฏเดฟเตปเตเดฑเต เดฌเต เดชเตเดฏเดฟเตปเตเดฑเตเด:
- เดเดชเดฏเตเดเตเดคเดพเดตเต dex-k8s-authenticator-เดฒเตเดเตเดเต เดฒเตเดเดฟเตป เดเตเดฏเตเดฏเตเดจเตเดจเต (
login.k8s.example.com) - dex-k8s-authicator เด
เดญเตเดฏเตผเดคเตเดฅเดจ Dex-เดฒเตเดเตเดเต เดเตเดฎเดพเดฑเตเดจเตเดจเต (
dex.k8s.example.com) - เดกเตเดเตเดธเต GitHub เดฒเตเดเดฟเตป เดชเตเดเดฟเดฒเตเดเตเดเต เดฑเตเดกเดฏเดฑเดเตโเดเต เดเตเดฏเตเดฏเตเดจเตเดจเต
- GitHub เดเดตเดถเตเดฏเดฎเดพเดฏ เด เดเดเตเดเดพเดฐ เดตเดฟเดตเดฐเดเตเดเตพ เดเดจเดฑเตเดฑเตเดฑเต เดเตเดฏเตเดฏเตเดเดฏเตเด Dex-เดฒเตเดเตเดเต เดคเดฟเดฐเดฟเดเต เดจเตฝเดเตเดเดฏเตเด เดเตเดฏเตเดฏเตเดจเตเดจเต
- Dex เดฒเดญเดฟเดเตเด เดตเดฟเดตเดฐเดเตเดเตพ dex-k8s-authenticator-เดฒเตเดเตเดเต เดเตเดฎเดพเดฑเตเดจเตเดจเต
- เดเดชเดฏเตเดเตเดคเดพเดตเดฟเดจเต GitHub-เตฝ เดจเดฟเดจเตเดจเต OIDC เดเตเดเตเดเตบ เดฒเดญเดฟเดเตเดเตเดจเตเดจเต
- dex-k8s-authenticator kubeconfig-เดฒเตเดเตเดเต เดเตเดเตเดเตบ เดเตเตผเดเตเดเตเดจเตเดจเต
- kubectl เดเตเดเตเดเตบ KubeAPIServer-เดจเต เดเตเดฎเดพเดฑเตเดจเตเดจเต
- เดชเดพเดธเดพเดเตเดเดฟเดฏ เดเตเดเตเดเดฃเดฟเดจเต เด เดเดฟเดธเตเดฅเดพเดจเดฎเดพเดเตเดเดฟ KubeAPIServer kubectl-เดฒเตเดเตเดเต เดเดเตโเดธเดธเตเดธเต เดจเตฝเดเตเดจเตเดจเต
- เดเดชเดฏเตเดเตเดคเดพเดตเดฟเดจเต kubectl-เตฝ เดจเดฟเดจเตเดจเต เดเดเตเดธเดธเต เดฒเดญเดฟเดเตเดเตเดจเตเดจเต
เดคเดฏเตเดฏเดพเดฑเตเดเตเดชเตเดชเต เดชเตเดฐเดตเตผเดคเตเดคเดจเดเตเดเตพ
เดคเตเตผเดเตเดเดฏเดพเดฏเตเด, เดเดเตเดเตพ เดเดคเดฟเดจเดเด เดเดฐเต เดเตเดฌเตผเดจเตเดฑเตเดฑเดธเต เดเตเดฒเดธเตเดฑเตเดฑเตผ เดเตปเดธเตเดฑเตเดฑเดพเตพ เดเตเดฏเตเดคเดฟเดเตเดเตเดฃเตเดเต (k8s.example.com), เดเตเดเดพเดคเต เดฎเตเตปเดเตเดเตเดเดฟ เดเตปเดธเตเดฑเตเดฑเดพเตพ เดเตเดฏเตเดค HELM เดธเดนเดฟเดคเด เดตเดฐเตเดจเตเดจเต. เดเดเตเดเตพเดเตเดเต GitHub-เดฒเตเด (super-org) เดเดฐเต เดธเตเดฅเดพเดชเดจเดฎเตเดฃเตเดเต.
เดจเดฟเดเตเดเตพเดเตเดเต HELM เดเดฒเตเดฒเตเดเตเดเดฟเตฝ, เด
เดคเต เดเตปเดธเตเดฑเตเดฑเดพเตพ เดเตเดฏเตเดฏเตเด .
เดเดฆเตเดฏเด เดจเดฎเตเดฎเตพ GitHub เดธเดเตเดเตเดเดฐเดฟเดเตเดเตเดฃเตเดเดคเตเดฃเตเดเต.
เดธเตเดฅเดพเดชเดจ เดเตเดฐเดฎเตเดเดฐเดฃ เดชเตเดเดฟเดฒเตเดเตเดเต เดชเตเดเตเด, (https://github.com/organizations/super-org/settings/applications) เดเตเดเดพเดคเต เดเดฐเต เดชเตเดคเดฟเดฏ เดเดชเตเดฒเดฟเดเตเดเตเดทเตป เดธเตเดทเตเดเดฟเดเตเดเตเด (เด
เดเดเตเดเตเดค OAuth เดเดชเตเดชเต):
GitHub-เตฝ เดเดฐเต เดชเตเดคเดฟเดฏ เดเดชเตเดฒเดฟเดเตเดเตเดทเตป เดธเตเดทเตเดเดฟเดเตเดเตเดจเตเดจเต
เดเดตเดถเตเดฏเดฎเดพเดฏ URL-เดเตพ เดเดชเดฏเตเดเดฟเดเตเดเต เดซเตเตฝเดกเตเดเตพ เดชเตเดฐเดฟเดชเตเดชเดฟเดเตเดเตเด, เดเดฆเดพเดนเดฐเดฃเดคเตเดคเดฟเดจเต:
- เดนเตเดเดชเตเดเต URL:
https://dex.k8s.example.com - เด
เดเดเตเดเตเดค เดเตเตพเดฌเดพเดเตเดเต URL:
https://dex.k8s.example.com/callback
เดฒเดฟเดเตเดเตเดเดณเดฟเตฝ เดถเตเดฐเดฆเตเดงเดพเดฒเตเดตเดพเดฏเดฟเดฐเดฟเดเตเดเตเด, เดธเตเดฒเดพเดทเตเดเตพ เดจเดทเตเดเดชเตเดชเตเดเดพเดคเดฟเดฐเดฟเดเตเดเตเดฃเตเดเดคเต เดชเตเดฐเดงเดพเดจเดฎเดพเดฃเต.
เดชเตเตผเดคเตเดคเดฟเดฏเดพเดเตเดเดฟเดฏ เดซเตเดฎเดฟเดจเต เดฎเดฑเตเดชเดเดฟเดฏเดพเดฏเดฟ, GitHub เดธเตเดทเตเดเดฟเดเตเดเตเด Client ID ะธ Client secret, เด
เดต เดธเตเดฐเดเตเดทเดฟเดคเดฎเดพเดฏ เดธเตเดฅเดฒเดคเตเดคเต เดธเตเดเตเดทเดฟเดเตเดเตเด, เด
เดต เดเดเตเดเตพเดเตเดเต เดเดชเดฏเตเดเดชเตเดฐเดฆเดฎเดพเดเตเด (เดเดฆเดพเดนเดฐเดฃเดคเตเดคเดฟเดจเต, เดเดเตเดเตพ เดเดชเดฏเตเดเดฟเดเตเดเตเดจเตเดจเต เดฐเดนเดธเตเดฏเดเตเดเตพ เดธเตเดเตเดทเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเต):
Client ID: 1ab2c3d4e5f6g7h8
Client secret: 98z76y54x32w1
เดเดชเดกเตเดฎเตเดฏเตโเดจเตเดเตพเดเตเดเดพเดฏเดฟ DNS เดฑเตเดเตเดเตเตผเดกเตเดเตพ เดคเดฏเตเดฏเดพเดฑเดพเดเตเดเตเด login.k8s.example.com ะธ dex.k8s.example.com, เดชเตเดฐเดตเตเดถเดจเดคเตเดคเดฟเดจเตเดณเตเดณ SSL เดธเตผเดเตเดเดฟเดซเดฟเดเตเดเดฑเตเดฑเตเดเดณเตเด.
เดจเดฎเตเดเตเดเต SSL เดธเตผเดเตเดเดฟเดซเดฟเดเตเดเดฑเตเดฑเตเดเตพ เดธเตเดทเตเดเดฟเดเตเดเดพเด:
cat <<EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
name: cert-auth-dex
namespace: kube-system
spec:
secretName: cert-auth-dex
dnsNames:
- dex.k8s.example.com
acme:
config:
- http01:
ingressClass: nginx
domains:
- dex.k8s.example.com
issuerRef:
name: le-clusterissuer
kind: ClusterIssuer
---
apiVersion: certmanager.k8s.io/v1alpha1
kind: Certificate
metadata:
name: cert-auth-login
namespace: kube-system
spec:
secretName: cert-auth-login
dnsNames:
- login.k8s.example.com
acme:
config:
- http01:
ingressClass: nginx
domains:
- login.k8s.example.com
issuerRef:
name: le-clusterissuer
kind: ClusterIssuer
EOF
kubectl describe certificates cert-auth-dex -n kube-system
kubectl describe certificates cert-auth-login -n kube-system
เดคเดฒเดเตเดเตเดเตเดเตเดณเตเดณ เดเตเดฒเดธเตเดฑเตเดฑเตผ เดเดทเตเดฏเตเดตเตผ le-clusterissuer เดเดคเดฟเดจเดเด เดจเดฟเดฒเดตเดฟเดฒเตเดฃเตเดเดพเดเดฃเด, เดเดฒเตเดฒเตเดเตเดเดฟเตฝ, HELM เดเดชเดฏเตเดเดฟเดเตเดเต เดเดคเต เดธเตเดทเตเดเดฟเดเตเดเตเด:
helm install --namespace kube-system -n cert-manager stable/cert-manager
cat << EOF | kubectl create -f -
apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
name: le-clusterissuer
namespace: kube-system
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
email: [email protected]
privateKeySecretRef:
name: le-clusterissuer
http01: {}
EOFKubeAPISserver เดเตเตบเดซเดฟเดเดฑเตเดทเตป
kubeAPIServer เดชเตเดฐเดตเตผเดคเตเดคเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเต, เดจเดฟเดเตเดเตพ OIDC เดเตเตบเดซเดฟเดเตผ เดเตเดฏเตเดฏเตเดเดฏเตเด เดเตเดฒเดธเตเดฑเตเดฑเตผ เด เดชเตโเดกเตเดฑเตเดฑเต เดเตเดฏเตเดฏเตเดเดฏเตเด เดเตเดฏเตเดฏเตเดฃเตเดเดคเตเดฃเตเดเต:
kops edit cluster
...
kubeAPIServer:
anonymousAuth: false
authorizationMode: RBAC
oidcClientID: dex-k8s-authenticator
oidcGroupsClaim: groups
oidcIssuerURL: https://dex.k8s.example.com/
oidcUsernameClaim: email
kops update cluster --yes
kops rolling-update cluster --yesเดเดเตเดเตพ เดเดชเดฏเตเดพเดเดฟเดเตเดเตเดจเตเดจเต เดเตเดฒเดธเตเดฑเตเดฑเดฑเตเดเตพ เดตเดฟเดจเตเดฏเดธเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเต, เดเดจเตเดจเดพเตฝ เดเดคเต เดธเดฎเดพเดจเดฎเดพเดฏเดฟ เดชเตเดฐเดตเตผเดคเตเดคเดฟเดเตเดเตเดจเตเดจเต .
Dex เดเตเตบเดซเดฟเดเดฑเตเดทเดจเตเด dex-k8s-authenticator
เดกเตเดเตโเดธเต เดชเตเดฐเดตเตผเดคเตเดคเดฟเดเตเดเตเดจเตเดจเดคเดฟเดจเต, เดจเดฟเดเตเดเตพเดเตเดเต เดเตเดฌเตเตผเดจเตเดฑเตเดฑเดธเต เดฎเดพเดธเตเดฑเตเดฑเดฑเดฟเตฝ เดจเดฟเดจเตเดจเต เดเดฐเต เดธเตผเดเตเดเดฟเดซเดฟเดเตเดเดฑเตเดฑเตเด เดเตเดฏเตเด เดเดฃเตเดเดพเดฏเดฟเดฐเดฟเดเตเดเดฃเด, เดจเดฎเตเดเตเดเต เด เดคเต เด เดตเดฟเดเต เดจเดฟเดจเตเดจเต เดเดเตเดเตเดเดพเด:
sudo cat /srv/kubernetes/ca.{crt,key}
-----BEGIN CERTIFICATE-----
AAAAAAAAAAABBBBBBBBBBCCCCCC
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
DDDDDDDDDDDEEEEEEEEEEFFFFFF
-----END RSA PRIVATE KEY-----เดจเดฎเตเดเตเดเต dex-k8s-authenticator เดฑเดฟเดชเตเดชเตเดธเดฟเดฑเตเดฑเดฑเดฟ เดเตเดฒเตเตบ เดเตเดฏเตเดฏเดพเด:
git clone [email protected]:mintel/dex-k8s-authenticator.git
cd dex-k8s-authenticator/เดฎเตเดฒเตเดฏ เดซเดฏเดฒเตเดเตพ เดเดชเดฏเตเดเดฟเดเตเดเต, เดจเดฎเตเดเตเดเดพเดฏเดฟ เดตเตเดฐเดฟเดฏเดฌเดฟเดณเตเดเตพ เดเตเดฐเดฎเตเดเดฐเดฟเดเตเดเดพเตป เดเดดเดฟเดฏเตเด .
Dex-เดจเตเดณเตเดณ เดเตเตบเดซเดฟเดเดฑเตเดทเตป เดตเดฟเดตเดฐเดฟเดเตเดเดพเด:
cat << EOF > values-dex.yml
global:
deployEnv: prod
tls:
certificate: |-
-----BEGIN CERTIFICATE-----
AAAAAAAAAAABBBBBBBBBBCCCCCC
-----END CERTIFICATE-----
key: |-
-----BEGIN RSA PRIVATE KEY-----
DDDDDDDDDDDEEEEEEEEEEFFFFFF
-----END RSA PRIVATE KEY-----
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
kubernetes.io/tls-acme: "true"
path: /
hosts:
- dex.k8s.example.com
tls:
- secretName: cert-auth-dex
hosts:
- dex.k8s.example.com
serviceAccount:
create: true
name: dex-auth-sa
config: |
issuer: https://dex.k8s.example.com/
storage: # https://github.com/dexidp/dex/issues/798
type: sqlite3
config:
file: /var/dex.db
web:
http: 0.0.0.0:5556
frontend:
theme: "coreos"
issuer: "Example Co"
issuerUrl: "https://example.com"
logoUrl: https://example.com/images/logo-250x25.png
expiry:
signingKeys: "6h"
idTokens: "24h"
logger:
level: debug
format: json
oauth2:
responseTypes: ["code", "token", "id_token"]
skipApprovalScreen: true
connectors:
- type: github
id: github
name: GitHub
config:
clientID: $GITHUB_CLIENT_ID
clientSecret: $GITHUB_CLIENT_SECRET
redirectURI: https://dex.k8s.example.com/callback
orgs:
- name: super-org
teams:
- team-red
staticClients:
- id: dex-k8s-authenticator
name: dex-k8s-authenticator
secret: generatedLongRandomPhrase
redirectURIs:
- https://login.k8s.example.com/callback/
envSecrets:
GITHUB_CLIENT_ID: "1ab2c3d4e5f6g7h8"
GITHUB_CLIENT_SECRET: "98z76y54x32w1"
EOF
เดเดชเตเดชเด dex-k8s-authenticator-เดจเดพเดฏเดฟ:
cat << EOF > values-auth.yml
global:
deployEnv: prod
dexK8sAuthenticator:
clusters:
- name: k8s.example.com
short_description: "k8s cluster"
description: "Kubernetes cluster"
issuer: https://dex.k8s.example.com/
k8s_master_uri: https://api.k8s.example.com
client_id: dex-k8s-authenticator
client_secret: generatedLongRandomPhrase
redirect_uri: https://login.k8s.example.com/callback/
k8s_ca_pem: |
-----BEGIN CERTIFICATE-----
AAAAAAAAAAABBBBBBBBBBCCCCCC
-----END CERTIFICATE-----
ingress:
enabled: true
annotations:
kubernetes.io/ingress.class: nginx
kubernetes.io/tls-acme: "true"
path: /
hosts:
- login.k8s.example.com
tls:
- secretName: cert-auth-login
hosts:
- login.k8s.example.com
EOFDex, dex-k8s-authenticator เดเดจเตเดจเดฟเดต เดเตปเดธเตเดฑเตเดฑเดพเตพ เดเตเดฏเตเดฏเตเด:
helm install -n dex --namespace kube-system --values values-dex.yml charts/dex
helm install -n dex-auth --namespace kube-system --values values-auth.yml charts/dex-k8s-authenticatorเดธเตเดตเดจเดเตเดเดณเตเดเต เดชเตเดฐเดตเตผเดคเตเดคเดจเดเตเดทเดฎเดค เดชเดฐเดฟเดถเตเดงเดฟเดเตเดเดพเด (Dex เดเตเดกเต 400 เดจเตฝเดเดฃเด, dex-k8s-authenticator เดเตเดกเต 200 เดจเตฝเดเดฃเด):
curl -sI https://dex.k8s.example.com/callback | head -1
HTTP/2 400
curl -sI https://login.k8s.example.com/ | head -1
HTTP/2 200RBAC เดเตเตบเดซเดฟเดเดฑเตเดทเตป
เดเตเดฐเตเดชเตเดชเดฟเดจเดพเดฏเดฟ เดเดเตเดเตพ เดเดฐเต เดเตเดฒเดธเตเดฑเตเดฑเตผ เดฑเตเตพ เดธเตเดทเตเดเดฟเดเตเดเตเดจเตเดจเต, เดเดเตเดเดณเตเดเต เดเดพเดฐเตเดฏเดคเตเดคเดฟเตฝ เดตเดพเดฏเดจ-เดฎเดพเดคเตเดฐเด เดเดเตโเดธเดธเตเดธเต:
cat << EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: cluster-read-all
rules:
-
apiGroups:
- ""
- apps
- autoscaling
- batch
- extensions
- policy
- rbac.authorization.k8s.io
- storage.k8s.io
resources:
- componentstatuses
- configmaps
- cronjobs
- daemonsets
- deployments
- events
- endpoints
- horizontalpodautoscalers
- ingress
- ingresses
- jobs
- limitranges
- namespaces
- nodes
- pods
- pods/log
- pods/exec
- persistentvolumes
- persistentvolumeclaims
- resourcequotas
- replicasets
- replicationcontrollers
- serviceaccounts
- services
- statefulsets
- storageclasses
- clusterroles
- roles
verbs:
- get
- watch
- list
- nonResourceURLs: ["*"]
verbs:
- get
- watch
- list
- apiGroups: [""]
resources: ["pods/exec"]
verbs: ["create"]
EOFClusterRoleBinding-เดจเดพเดฏเดฟ เดจเดฎเตเดเตเดเต เดเดฐเต เดเตเตบเดซเดฟเดเดฑเตเดทเตป เดธเตเดทเตเดเดฟเดเตเดเดพเด:
cat <<EOF | kubectl create -f -
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
name: dex-cluster-auth
namespace: kube-system
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-read-all
subjects:
kind: Group
name: "super-org:team-red"
EOFเดเดชเตเดชเตเตพ เดเดเตเดเตพ เดชเดฐเตเดเตเดทเดฃเดคเตเดคเดฟเดจเต เดคเดฏเตเดฏเดพเดฑเดพเดฃเต.
เดเตเดธเตเดฑเตเดฑเตเดเตพ
เดฒเตเดเดฟเตป เดชเตเดเดฟเดฒเตเดเตเดเต เดชเตเดเตเด (https://login.k8s.example.com) เดเตเดเดพเดคเต เดจเดฟเดเตเดเดณเตเดเต GitHub เด
เดเตเดเตเดฃเตเดเต เดเดชเดฏเตเดเดฟเดเตเดเต เดฒเตเดเดฟเตป เดเตเดฏเตเดฏเตเด:
เดฒเตเดเดฟเตป เดชเตเดเต
เดฒเตเดเดฟเตป เดชเตเดเต GitHub-เดฒเตเดเตเดเต เดฑเตเดกเดฏเดฑเดเตโเดเต เดเตเดฏเตโเดคเต
เดเดเตโเดธเดธเต เดจเตเดเตเดจเตเดจเดคเดฟเดจเต เดเดจเดฑเตเดฑเตเดฑเตเดเตเดฏเตโเดค เดจเดฟเตผเดฆเตเดฆเตเดถเดเตเดเตพ เดชเดพเดฒเดฟเดเตเดเตเด
เดตเตเดฌเตโเดชเตเดเดฟเตฝ เดจเดฟเดจเตเดจเต เดเตเดชเตเดชเดฟ-เดชเตเดธเตเดฑเตเดฑเต เดเตเดฏเตเดค เดถเตเดทเด, เดเดเตเดเดณเตเดเต เดเตเดฒเดธเตเดฑเตเดฑเตผ เดเดฑเดตเดฟเดเดเตเดเตพ เดเตเดเดพเดฐเตเดฏเด เดเตเดฏเตเดฏเดพเตป kubectl เดเดชเดฏเตเดเดฟเดเตเดเดพเด:
kubectl get po
NAME READY STATUS RESTARTS AGE
mypod 1/1 Running 0 3d
kubectl delete po mypod
Error from server (Forbidden): pods "mypod" is forbidden: User "[email protected]" cannot delete pods in the namespace "default"
เดเดคเต เดชเตเดฐเดตเตผเดคเตเดคเดฟเดเตเดเตเดจเตเดจเต, เดเดเตเดเดณเตเดเต เดธเตเดฅเดพเดชเดจเดคเตเดคเดฟเดฒเต เดเดฒเตเดฒเดพ GitHub เดเดชเดฏเตเดเตเดคเดพเดเตเดเตพเดเตเดเตเด เดเดฑเดตเดฟเดเดเตเดเตพ เดเดพเดฃเดพเดจเตเด เดชเตเดกเตเดเดณเดฟเดฒเตเดเตเดเต เดฒเตเดเดฟเตป เดเตเดฏเตเดฏเดพเดจเตเด เดเดดเดฟเดฏเตเด, เดเดจเตเดจเดพเตฝ เด
เดต เดฎเดพเดฑเตเดฑเดพเตป เด
เดตเตผเดเตเดเต เด
เดตเดเดพเดถเดฎเดฟเดฒเตเดฒ.
เด
เดตเดฒเดเดฌเด: www.habr.com