V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
winson030
V2EX  ›  Kubernetes

[k8s 探讨] 集群多用户最佳实践

  •  
  •   winson030 · 357 天前 · 1362 次点击
    这是一个创建于 357 天前的主题,其中的信息可能已经有所发展或是发生改变。

    背景

    最近在维护 k8s 集群。 觉得集群默认的 default 用户权限太大,想设置几个普通用户用于测试和开发项目。

    探讨

    • 大家是如何管理新用户证书的?

    我用 openssl 生成的证书,验证时间设定成 10 年。

    • 大家是如何管理新用户的 rbac 的?

    我用 role 和 rolebinding 限制 新用户可以操作的资源,并且限制了 namespace ,通过 yaml 文件本地管理

    • 大家是如何给新用户分配资源的?

    我只给新用户指定了 namespace ,无法操作别的 namespace 。 这个用户是专门用来部署开发项目的。想听听更细粒度的的设置。

    最后

    欢迎大家介绍一下自己在管理 k8s 集群中的最佳实践实践!

    6 条回复    2024-05-11 11:18:47 +08:00
    GooMS
        1
    GooMS  
       357 天前 via Android
    开发测试弄单独的集群,随便玩
    winson030
        2
    winson030  
    OP
       357 天前
    @GooMS 这确实比较安全。不过我没有更多的资源了,只能在现有的集群上做
    knightgao2
        3
    knightgao2  
       357 天前
    正常普通用户不需要这种的,有单独的 ci/cd 平台
    winson030
        4
    winson030  
    OP
       357 天前
    @knightgao2 你是说 rancher 那些吗?
    我想着使用普通用户的 kubeconifg file 访问集群,在受限制的环境内搭建开发用的 ci/cd 服务。
    Marionxue
        5
    Marionxue  
       339 天前
    测试和开发需要 k8s 集群权限做什么?
    yunshangdetianya
        6
    yunshangdetianya  
       229 天前   ❤️ 1
    创建一个 role 或者 clusterrole
    创建一个 sa
    创建 sa 到 role 或者 clusterrole 的绑定
    创建这个 sa 的 token
    role 或者 clusterrole 里写上可以访问的命名空间,权限,资源这些
    拷贝一个 config 文件,改里面的 sa 名字和 token 就行了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3396 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:04 · PVG 19:04 · LAX 03:04 · JFK 06:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.