Home Sign Up Sign In
Advertisement
winson030

[k8s 探讨] 集群多用户最佳实践

  •   
  •   winson030 · Jan 4, 2024 · 2449 views
    This topic created in 889 days ago, the information mentioned may be changed or developed.

    背景

    最近在维护 k8s 集群。 觉得集群默认的 default 用户权限太大,想设置几个普通用户用于测试和开发项目。

    探讨

    • 大家是如何管理新用户证书的?

    我用 openssl 生成的证书,验证时间设定成 10 年。

    • 大家是如何管理新用户的 rbac 的?

    我用 role 和 rolebinding 限制 新用户可以操作的资源,并且限制了 namespace ,通过 yaml 文件本地管理

    • 大家是如何给新用户分配资源的?

    我只给新用户指定了 namespace ,无法操作别的 namespace 。 这个用户是专门用来部署开发项目的。想听听更细粒度的的设置。

    最后

    欢迎大家介绍一下自己在管理 k8s 集群中的最佳实践实践!

  • k8s
  • namespace
  • 用户
  • 实践
    6 replies    2024-05-11 11:18:47 +08:00
    3IOhG7M0knRu5UlC
        1
    3IOhG7M0knRu5UlC  
       Jan 4, 2024 via Android
    开发测试弄单独的集群,随便玩
    winson030
        2
    winson030  
    OP
       Jan 4, 2024
    @GooMS 这确实比较安全。不过我没有更多的资源了,只能在现有的集群上做
    knightgao2
        3
    knightgao2  
       Jan 4, 2024
    正常普通用户不需要这种的,有单独的 ci/cd 平台
    winson030
        4
    winson030  
    OP
       Jan 4, 2024
    @knightgao2 你是说 rancher 那些吗?
    我想着使用普通用户的 kubeconifg file 访问集群,在受限制的环境内搭建开发用的 ci/cd 服务。
    Marionxue
        5
    Marionxue  
       Jan 21, 2024
    测试和开发需要 k8s 集群权限做什么?
    yunshangdetianya
        6
    yunshangdetianya  
       May 11, 2024   ❤️ 1
    创建一个 role 或者 clusterrole
    创建一个 sa
    创建 sa 到 role 或者 clusterrole 的绑定
    创建这个 sa 的 token
    role 或者 clusterrole 里写上可以访问的命名空间,权限,资源这些
    拷贝一个 config 文件,改里面的 sa 名字和 token 就行了
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3282 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 12:08 · PVG 20:08 · LAX 05:08 · JFK 08:08
    ♥ Do have faith in what you're doing.