2
我运行一个GKE 1.8.4集群,并看到有请求访问资源的问题被允许,即使RBAC否认他们kubernetes RBAC不否认阻止访问
原木/KUBE-apiserver.log (我已经更换了用户名和我冒充的用户名,在< 斜体>):
I1218 13:30:38.644205 5 httplog.go:64] & {< my_user> [系统:认证]地图[]}充当& {< other_user> [系统:认证]映射[]}
I1218 13:30:38.644297 5 rbac.go:116] RBAC DENY:用户 “< other_user>” 基团[ “系统:认证” ]在命名空间“prod”中不能“列出”资源“秘密”
I1218 13:30:38.676079 5 wrap.go:42] GET/api/v1/namespaces/prod/secrets:(32.043196ms)200 [[kubectl /v1.8.4(LINUX/AMD64)kubernetes/9befc2b]
为什么API程序的获取RBAC后DENY(最终回的秘密在回应我kubectl CMD)?
FWIW我kubectl cmd是:kubectl get secrets --namespace prod --as <other_user>
我怀疑还有另外一个授权人多数民众赞成允许它,虽然我已经做了我所知道的,以确保一切没有(ABAC应该被禁用,因为我在1.8,谷歌的云控制台显示它作为被禁用,并且我看到“legacyAbac:{}”中从gcloud测试容器簇的响应描述)
啊,我完全应该检查一下!即使在检查了大量的在线资源之后,我仍然没有意识到webhook授权者默认启用了,但它现在确实带来了负载 我将整理我们的GKE IAM。非常感谢乔丹! – eversMcc