Всем привет Дошёл наконец до задачи предоставления доступа в кластер разработчикам. Пока

сделал флоу чтобы вручную создавать csr(1 месяц), серт и выдавать его разрабу.

Через RoleBinding в неймспейсе к ClusterRole в неймспейсах с системами выдал ограниченные доступы пока только на exec и скейлинг деплоймента.

Но руководству больше нравиться веб интерфейс. В кластере есть установленный по дефолту kube dashboard.

Но чтобы у нему подключиться нужен SA, и куб-конфиг по другому надо делать. У меня пока флоу с обычными x509 сертами.

Ну т.е. от уже имеющегося флоу с x509 куб-конфиг не зайдёт, т.к. нужен токен, а токен как я понимаю может быть только у SA

В общем я пока только начал разбираться в теме RBAC поэтому много вопросов.

Кейс 1.

Оставить как есть. Пусть учаться работать с kubectl

Кейс 2.

Выкинуть kube dashboard через ингресс за vpn. Но тогда нужно будет на каждого дева делать SA с кубконфигом в котором будет токен ?
В этом случае возможно будет что девы будут работать в дашборде с ограниченными правами, которые я задам в ClusterRole ?
И вообще их туда пустит с такими ограниченными правами ?

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: app-developers-restricted-access
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/log"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/exec"]
verbs:
- create
- apiGroups: ["apps"]
resources: ["deployments/scale"]
verbs: ["patch"]

Кейс 3.

Поставить ранчер ну и весь флоу по него разработать. Но тут чую на неделю минимум делов.

Кейс 4.

Прикрутить какую то стороннюю авторизацию, н-р saml, ldap. У нас AD. Тут чую тоже много работы

В общем может кто что посоветует ?

так флоу с сертификатами херовый, из отзывать нельзя проще взять сервис аккаунты

У меня 3 пункт. Все довольны. Авторизация через keycloak

> У нас AD Взять dex или keycloack в качестве брокера. Таким образом у тебя будет oidc