如何解决部署头盔需要RBAC权限
我正在为我们的集群设置RBAC,并且正在设置两个角色:
- 管理员
- 开发人员
我很满意的管理员基本上可以完全访问所有内容,但是我不确定要授予developer
用户才能执行部署所需的权限。
我们正在使用Helm(3)进行部署,我希望开发人员能够重新部署该应用程序(而不是初始部署),但是我不确定这样做需要什么权限。我不确定Helm如何管理实际部署。例如,像豆荚这样的东西。用户是否需要吊舱创建许可,或者由于吊舱通常由部署资源本身来处理,所以不需要吗?
解决方法
如果图表仅创建部署对象,则吊舱生命周期由Deployment控制器管理。 Helm3需要一点提升的特权才能运行,因为安装元数据(版本历史记录等)是在Secrets中管理的,因此运行安装命令的用户肯定需要对Secrets对象的完全访问权限。 此外,权限策略还取决于安装将创建哪些对象。用户将需要对将由头盔安装管理的那些API对象的所有访问权限。 一个好的策略是使用Helm Operator https://github.com/fluxcd/helm-operator管理Helm发布。这样,您只需授予对HelmRelease CR的完全访问权限,就能保护名称空间中的其他敏感机密和对象。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。