темы с доступом в кластер для разработчиков:
- провалиться в стандартный куб дашборд с использованием kubeconfig|token от сервис аккаунта с весьма ограниченными правами
- пользователь получит тот минимальный набор прав который я выдам ему через ClusterRole
- дашдобрд будет пускать только туда где есть доступ - но в целом разрешенная часть будет работать
будет возможно ?
Пример ClusterRole:
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: app-developers-restricted-access
rules:
- apiGroups: [""]
resources: ["namespaces"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/log"]
verbs:
- get
- list
- apiGroups: [""]
resources: ["pods", "pods/exec"]
verbs:
- create
- apiGroups: ["apps"]
resources: ["deployments/scale"]
verbs: ["patch"]
дашборд это вообще рак
А стандартный даш ваще можно с oidc плдоужить?
Обсуждают сегодня