learning/k8s-advanced/sec/rbac/cmd.md
创建一个 Role 对象以在某个名称空间内定义权限。例子:
创建一个名为 “pod-reader” 的 Role 对象,允许用户执行 “get”、“watch”、“list” 操作:
kubectl create role pod-reader --verb=get --verb=list --verb=watch --resource=pods
创建一个名为 “pod-reader” 的 Role 对象并指定 resourceName:
kubectl create role pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod
创建一个名为 “foo” 的 Role 对象并指定 apiGroups:
kubectl create role foo --verb=get,list,watch --resource=replicasets.apps
创建一个名为 “foo” 的 Role 对象并指定 subresource 权限:
kubectl create role foo --verb=get,list,watch --resource=pods,pods/status
创建一个名为 “my-component-lease-holder” 的 Role 对象并指定可以 查看/更新 特定名称的资源:
kubectl create role my-component-lease-holder --verb=get,list,watch,update --resource=lease --resource-name=my-component
创建 ClusterRole 对象的例子:
创建一个名为 “pod-reader” 的 ClusterRole 对象,允许用户对 Pod 执行 “get”、“watch”、“list” 操作:
kubectl create clusterrole pod-reader --verb=get,list,watch --resource=pods
创建一个名为 “pod-reader” 的 ClusterRole 对象,并指定 resourceName:
kubectl create clusterrole pod-reader --verb=get --resource=pods --resource-name=readablepod --resource-name=anotherpod
创建一个名为 “foo” 的 ClusterRole 对象,并指定 apiGroup:
kubectl create clusterrole foo --verb=get,list,watch --resource=replicasets.apps
创建一个名为 “foo” 的 ClusterRole 对象,并指定 subresource 权限:
kubectl create clusterrole foo --verb=get,list,watch --resource=pods,pods/status
创建一个名为 “foo” 的 ClusterRole 对象,并指定 nonResourceURL:
kubectl create clusterrole "foo" --verb=get --non-resource-url=/logs/*
创建一个名为 “monitoring” 的 ClusterRole 对象,并指定 aggregationRule:
kubectl create clusterrole monitoring --aggregation-rule="rbac.example.com/aggregate-to-monitoring=true"
创建 RoleBinding,在某个名称空间内为被授权主体绑定 Role 或 ClusterRole。例子:
在名称空间 “acme” 中,将名称为 admin 的 ClusterRole 的权限授予给用户 “bob” :
kubectl create rolebinding bob-admin-binding --clusterrole=admin --user=bob --namespace=acme
在名称空间 “acme” 中,将名称为 view 的 ClusterRole 的权限授予给名称空间 “acme” 中名称为 “myapp” 的 service account :
kubectl create rolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp --namespace=acme
在名称空间 “acme” 中,将名称为 view 的 ClusterRole 的权限授予给名称空间 “myappnamespace” 中名称为 “myapp” 的 service account :
kubectl create rolebinding myappnamespace-myapp-view-binding --clusterrole=view --serviceaccount=myappnamespace:myapp --namespace=acme
在集群范围内(包括所有名称空间)授权 ClusterRole。例子:
在集群范围内,将名称为 cluster-admin 的 ClusterRole 的权限授予给用户 “root”:
kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole=cluster-admin --user=root
在集群范围内,将名称为 system:node-proxier 的 ClusterRole 的权限授予给用户 “system:kube-proxy”:
kubectl create clusterrolebinding kube-proxy-binding --clusterrole=system:node-proxier --user=system:kube-proxy
在集群范围内,将名称为 view 的 ClusterRole 的权限授予给名称空间 “acme” 中的 service account “myapp”:
kubectl create clusterrolebinding myapp-view-binding --clusterrole=view --serviceaccount=acme:myapp
从描述文件创建或更新 rbac.authorization.k8s.io/v1 API 对象。
描述文件中有,API Server中不存在的对象将被创建(如果对应的名称空间不存在,自动创建名称空间)。
描述文件中有,API Server中已存在的对象将被更新,以包含描述文件中定义的权限(如果指定了 --remove-extra-permissions 参数,描述文件中未定义的额外的权限将被删除)。
描述文件中有,API Server中已存在的绑定对象将被更新,以包含描述文件中定义的被授权主体(如果指定了 --remove-extra-subjects 参数,描述文件中未定义的额外的被授权主体将被删除)。
例子:
测试描述文件中的 RBAC 对象,并显示将要执行的变更:
kubectl auth reconcile -f my-rbac-rules.yaml --dry-run
应用描述文件中的 RBAC 对象,保留额外的权限(角色中)和额外的被授权主体(绑定中):
kubectl auth reconcile -f my-rbac-rules.yaml
应用描述文件中的 RBAC 对象,删除额外的权限(角色中)和额外的被授权主体(绑定中):
kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-subjects --remove-extra-permissions