1

如果我从 Azure 门户创建全新的 AKS RBAC 群集,在我具有贡献者角色的资源组中,然后在az aks get-credentials 没有 admin flag的情况下运行,我可以创建和删除 pod 和命名空间,读取群集范围的机密,以及依此类推,使用 kubectl。这无需先登录--admin并创建任何 RBAC 角色和绑定。

是什么赋予了我这些权限?根据我网上找到的讨论,非管理员版本的下载集群用户角色的 kubeconfig 设置,它应该允许我登录,但没有太多,开箱即用。 get-credentials

4

2 回答 2

0

这里有点混乱。因此,如果您创建启用了 RBAC 的集群,az aks get-credentials则会提取管理员配置(因此具有完全访问权限)。您需要登录创建角色\绑定\服务帐户\用户并为其他用户生成 kubeconfigs,以便他们将获得您希望他们拥有的权限。

但是,如果您使用AAD 集成创建启用 RBAC 的集群,那么az aks get-credentials除非您在 k8s 中配置适当的角色\绑定,否则将基于您的 AAD 用户提取凭据,并且这将不起作用(提取将起作用,访问 k8s 将不起作用)。

于 2019-06-07T05:20:12.347 回答
0

我们打开了一张支持票并得到了答案:微软确认这是一个错误,他们正在努力:

拥有“Azure Kubernetes 服务集群管理员角色”不应允许您get-credentials使用用户配置文件。但是,有一个错误,我们返回的客户端证书get-credentials --adminget-credentials. 这几乎意味着 clusterUser 和 clusterAdmin 一样好。

于 2019-06-24T23:04:41.713 回答