Мы создали 2 разных кластера Kubernetes на платформе Google Cloud Platform: один для разработки, а другой - для производства. Члены нашей команды имеют роль «редактора» (поэтому они могут создавать, обновлять модули удаления и списки)
Мы хотим ограничить доступ к производственному кластеру с помощью авторизации RBAC, предоставляемой Kubernetes. Я создал ClusterRole
и ClusterBindingRole
, как показано ниже:
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: prod-all
rules:
- apiGroups: ["*"]
resources: ["*"]
verbs: ["*"]
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: access-prod-all
subjects:
- kind: User
name: [email protected]
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: ClusterRole
name: prod-all
apiGroup: rbac.authorization.k8s.io
Но у пользователей уже есть роль «редактора» (полный доступ ко всем кластерам). Поэтому я не знаю, следует ли нам назначать простую роль «зрителя», чем расширять ее с помощью kubernetes RBAC.
Я также хочу знать, есть ли способ полностью скрыть производственный кластер от некоторых пользователей. (наши кластеры находятся в одном проекте)