сделал флоу чтобы вручную создавать csr(1 месяц), серт и выдавать его разрабу.
Через RoleBinding в неймспейсе к ClusterRole в неймспейсах с системами выдал ограниченные доступы пока только на exec и скейлинг деплоймента.
Но руководству больше нравиться веб интерфейс. В кластере есть установленный по дефолту kube dashboard.
Но чтобы у нему подключиться нужен SA, и куб-конфиг по другому надо делать. У меня пока флоу с обычными x509 сертами.
Ну т.е. от уже имеющегося флоу с x509 куб-конфиг не зайдёт, т.к. нужен токен, а токен как я понимаю может быть только у SA
В общем я пока только начал разбираться в теме RBAC поэтому много вопросов.
Кейс 1.
Оставить как есть. Пусть учаться работать с kubectl
Кейс 2.
Выкинуть kube dashboard через ингресс за vpn. Но тогда нужно будет на каждого дева делать SA с кубконфигом в котором будет токен ?
В этом случае возможно будет что девы будут работать в дашборде с ограниченными правами, которые я задам в ClusterRole ?
И вообще их туда пустит с такими ограниченными правами ?
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: app-developers-restricted-access
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/log"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/exec"]
verbs:
- create
- apiGroups: ["apps"]
resources: ["deployments/scale"]
verbs: ["patch"]
Кейс 3.
Поставить ранчер ну и весь флоу по него разработать. Но тут чую на неделю минимум делов.
Кейс 4.
Прикрутить какую то стороннюю авторизацию, н-р saml, ldap. У нас AD. Тут чую тоже много работы
В общем может кто что посоветует ?
так флоу с сертификатами херовый, из отзывать нельзя проще взять сервис аккаунты
У меня 3 пункт. Все довольны. Авторизация через keycloak
> У нас AD Взять dex или keycloack в качестве брокера. Таким образом у тебя будет oidc
Обсуждают сегодня