代码之家  ›  专栏  ›  技术社区  ›  user3151902

受限Kubernetes仪表板?

kubernetes-security dashboard kubernetes
  •  3
  • user3151902  · 技术社区  · 8 年前

    受限制的 kubectl proxy

    • 吊舱的日志输出
    • 运行服务和POD
    • 当前CPU/内存使用率

    希望用户能够执行“特权”操作,例如创建新的pod、删除pod或访问机密。

    2 回复  |  直到 8 年前
        1
  •  3
  •   user3151902    8 年前

    根据lwolf的回答,我使用了 the kubernetes-dashboard.yaml

    重要的变化是 kind: ClusterRole, name: view 分配 看法 

    apiVersion: v1
kind: ServiceAccount
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: ro-dashboard
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: ClusterRoleBinding
metadata:
  name: ro-dashboard
  labels:
    k8s-app: kubernetes-dashboard
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: view
subjects:
- kind: ServiceAccount
  name: ro-dashboard
  apiGroup: ''
  namespace: default
---
kind: Deployment
apiVersion: extensions/v1beta1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: ro-dashboard
spec:
  replicas: 1
  revisionHistoryLimit: 0
  selector:
    matchLabels:
      k8s-app: kubernetes-dashboard
  template:
    metadata:
      labels:
        k8s-app: kubernetes-dashboard
    spec:
      containers:
      - name: kubernetes-dashboard
        image: gcr.io/google_containers/kubernetes-dashboard-amd64:v1.6.3
        ports:
        - containerPort: 9090
          protocol: TCP
        livenessProbe:
          httpGet:
            path: /
            port: 9090
          initialDelaySeconds: 30
          timeoutSeconds: 30
      serviceAccountName: ro-dashboard
---
kind: Service
apiVersion: v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: ro-dashboard
spec:
  type: LoadBalancer
  ports:
  - port: 80
    targetPort: 9090
  selector:
    k8s-app: kubernetes-dashboard
        2
  •  2
  •   lwolf    8 年前

    在启用RBAC的kubernetes中应该是可能的。 你不需要用 kubectl proxy .

    推荐文章
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号