kubernetes RBAC不否认阻止访问

我运行一个GKE 1.8.4集群,并看到有请求访问资源的问题被允许,即使RBAC否认他们kubernetes RBAC不否认阻止访问

原木

/KUBE-apiserver.log (我已经更换了用户名和我冒充的用户名,在< 斜体>):

I1218 13:30:38.644205 5 httplog.go:64] & {< my_user> [系统:认证]地图[]}充当& {< other_user> [系统:认证]映射[]}

I1218 13:30:38.644297 5 rbac.go:116] RBAC DENY:用户 “< other_user>” 基团[ “系统:认证” ]在命名空间“prod”中不能“列出”资源“秘密”

I1218 13:30:38.676079 5 wrap.go:42] GET/api/v1/namespaces/prod/secrets:(32.043196ms)200 [[kubectl /v1.8.4(LINUX/AMD64)kubernetes/9befc2b]

为什么API程序的获取RBAC后DENY(最终回的秘密在回应我kubectl CMD)?

FWIW我kubectl cmd是:kubectl get secrets --namespace prod --as <other_user>

我怀疑还有另外一个授权人多数民众赞成允许它,虽然我已经做了我所知道的,以确保一切没有(ABAC应该被禁用,因为我在1.8,谷歌的云控制台显示它作为被禁用,并且我看到“legacyAbac:{}”中从gcloud测试容器簇的响应描述

回答:

GKE使两者RBAC授权和网络挂接授权该咨询GKE IAM。指定的用户名是否通过GKE具有权限?

以上是 kubernetes RBAC不否认阻止访问 的全部内容, 来源链接: utcz.com/qa/263978.html

回到顶部