Controllo dell'accesso basato su ruoli (RBAC) per runtime VM su GDC

Il runtime VM su GDC gestisce un'ampia gamma di risorse relative alle tue VM. Queste risorse includono le risorse definite dall'edizione di Google Kubernetes Engine (GKE) Enterprise, quelle definite da KubeVirt e le risorse Kubernetes. Il runtime VM su GDC utilizza il controllo controllo dell'accesso basato sui ruoli (RBAC) per impostare e applicare le autorizzazioni per le risorse gestite. Per aiutarti a utilizzare queste risorse e a gestire le tue VM, abbiamo fornito quattro ClusterRole preconfigurati:

• kubevm.admin
• kubevm.edit
• kubevm.view
• kubevm.cluster.view

Questi ruoli integrati forniscono un modello di accesso generalizzato alle risorse personalizzate relative al runtime VM su GDC. Ciascun ruolo dispone di autorizzazioni prestabilite per operare sulle risorse. Questo documento fornisce informazioni sulle risorse gestite dal runtime VM su GDC in modo che gli amministratori di cluster possano personalizzare il proprio modello di accesso.

ClusterRole predefiniti

Questa sezione descrive ognuno dei ClusterRole predefiniti. Questi ClusterRole sono disponibili solo quando è abilitato il runtime VM su GDC:

• Quando il runtime VM su GDC è abilitato, vengono creati automaticamente i quattro ClusterRole predefiniti.
• Quando il runtime VM su GDC è disabilitato, i quattro ClusterRole predefiniti vengono eliminati.

La tabella seguente elenca i ruoli del cluster e le relative autorizzazioni:

Ruolo cluster	Descrizione	Accedi ai verbi
kubevm.admin	Concede l'accesso completo a tutte le risorse della versione Google Kubernetes Engine (GKE) Enterprise.	get list watch delete create update patch deletecollection
kubevm.edit	Concede l'accesso in lettura/scrittura a tutte le risorse della versione Google Kubernetes Engine (GKE) Enterprise.	get list watch delete create update patch
kubevm.view	Concede l'accesso in lettura a tutte le risorse della versione Google Kubernetes Engine (GKE) Enterprise.	get list watch
kubevm.cluster.view	Concede l'accesso in lettura alle risorse a livello di cluster. Questo ruolo nel cluster è necessario quando il ruolo di modifica/visualizzazione è associato a uno spazio dei nomi mentre è necessario l'accesso alle risorse a livello di cluster.	get list watch

ClusterRole aggregati

I ClusterRole kubevm.admin, kubevm.view e kubevm.edit non vengono utilizzati direttamente. Questi tre ruoli vengono invece aggregati ai ClusterRole predefiniti di Kubernetes admin, view e edit. Questa aggregazione estende i ruoli predefiniti di Kubernetes in modo che possano essere utilizzati per gestire le risorse della versione Google Kubernetes Engine (GKE) Enterprise. Con i ClusterRole aggregati, puoi utilizzare i ruoli predefiniti di Kubernetes per gestire l'accesso alle risorse dell'edizione Google Kubernetes Engine (GKE) Enterprise o creare ruoli personalizzati in base ai ClusterRole predefiniti.

Etichetta di aggregazione di esempio

Il ClusterRole kubevm.edit ha l'etichetta rbac.authorization.k8s.io/aggregate-to-edit: "true", che lo aggrega al ClusterRole edit di Kubernetes. Le autorizzazioni nel ruolo kubevm.edit ClusterRole vengono concesse al ruolo edit predefinito di Kubernetes. I ClusterRole kubevm.admin e kubevm.view vengono aggregati in modo simile con le annotazioni aggregate-to-admin o aggregate-to-view.

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
    name: kubevm.edit
    labels:
      kubevm: kubevm.edit
      rbac.authorization.k8s.io/aggregate-to-edit: "true"
...

Scenari utente tipici

Le seguenti sezioni descrivono come utilizzare RoleBinding e ClusterRoleBinding per concedere le autorizzazioni specificate nei ClusterRole predefiniti a un utente o a un insieme di utenti.

Amministratore cluster

Per concedere le autorizzazioni di amministratore a un utente o a un insieme di utenti, crea un ClusterRoleBinding con il ClusterRole predefinito admin di Kubernetes.

ClusterRoleBinding di esempio

Il seguente esempio di ClusterRoleBinding admin-charlie concede all'utente le autorizzazioni di amministratore charlie. ClusterRoleBinding utilizza le autorizzazioni del ClusterRole admin predefinito di Kubernetes, che include le autorizzazioni del ClusterRole kubevm.admin predefinito tramite l'aggregazione.

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-charlie
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: charlie

Visualizzatore cluster

Per concedere le autorizzazioni di visualizzazione a un utente o a un insieme di utenti, crea un ClusterRoleBinding con il ClusterRole predefinito view di Kubernetes. Consulta l'esempio di ClusterRoleBinding per un esempio di ClusterRoleBinding simile.

Editor cluster

Per concedere le autorizzazioni di editor a un utente o a un insieme di utenti, crea un ClusterRoleBinding con il ClusterRole predefinito edit di Kubernetes. Consulta l'esempio di ClusterRoleBinding per un esempio di ClusterRoleBinding simile.

Editor con ritmo

Per concedere le autorizzazioni di editor con spazio dei nomi a un utente o a un insieme di utenti, devi creare due associazioni separate:

• Crea un oggetto RoleBinding per lo spazio dei nomi e fai riferimento al ClusterRole edit Kubernetes predefinito.

• Crea un ClusterRoleBinding che faccia riferimento al ClusterRole kubevm.cluster.view predefinito. Questo ClusterRoleBinding è necessario perché alcune risorse, come virtualmachinetypes e storageclasses, non hanno uno spazio dei nomi.

Esempi di associazione di ruoli (editor con spazi dei nomi)

I seguenti esempi di RoleBinding e ClusterRoleBinding assegnano all'utente charlie le autorizzazioni di modifica per le risorse nello spazio dei nomi default:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: edit-charlie
  namespace: default
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: edit
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: charlie

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubevm-cluster-view-charlie
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: kubevm.cluster.view
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: charlie

Visualizzatore con pacing dei nomi

Per concedere le autorizzazioni di visualizzazione con spazio dei nomi a un utente o a un insieme di utenti, devi creare due associazioni separate:

• Crea un oggetto RoleBinding per lo spazio dei nomi e fai riferimento al ClusterRole view Kubernetes predefinito.

• Crea un ClusterRoleBinding che faccia riferimento al ClusterRole kubevm.cluster.view predefinito.

Consulta gli esempi di associazioni di ruoli (editor con spazi dei nomi) per esempi di RoleBinding e ClusterRoleBinding simili.

Risorse utilizzate dal runtime VM su GDC

Le seguenti sezioni contengono tabelle di risorse utilizzate dal runtime VM su GDC. Queste sezioni sono solo a scopo informativo. Se prevedi di utilizzare ruoli predefiniti negli scenari utente tipici descritti nelle sezioni precedenti, non c'è un uso specifico di queste informazioni.

Se, tuttavia, non vuoi utilizzare i ruoli predefiniti, puoi utilizzare queste informazioni sulle risorse per creare ruoli personalizzati.

Risorse definite dalla versione di Google Kubernetes Engine (GKE) Enterprise

I ClusterRole predefiniti sono incentrati sull'accesso alle risorse definite dall'edizione di Google Kubernetes Engine (GKE) Enterprise. La tabella seguente elenca le risorse della versione Google Kubernetes Engine (GKE) Enterprise e le autorizzazioni di accesso concesse da ciascuno dei ClusterRole predefiniti.

Risorsa	Generato	A livello di cluster	kubevm.admin	kubevm.view	kubevm.edit	kubevm.cluster.view
virtualmachineaccessrequests	–	–	Completa	Leggi	Lettura/scrittura	–
virtualmachinedisks	–	–	Completa	Leggi	Lettura/scrittura	–
virtualmachines	–	–	Completa	Leggi	Lettura/scrittura	–
gpuallocations	–	–	Completa	Leggi	Lettura/scrittura	–
guestenvironmentdata	Sì	–	Completa	Leggi	Lettura/scrittura	–
vmruntimes	–	Sì	Completa	Leggi	Lettura/scrittura	Leggi
virtualmachinetypes	–	Sì	Completa	Leggi	Lettura/scrittura	Leggi
vmhighavailabilitypolicies	–	Sì	Completa	Leggi	Lettura/scrittura	Leggi
networkinterfaces	Sì	–	Completa	Leggi	Lettura/scrittura	–
networks	–	Sì	Completa	Leggi	Lettura/scrittura	Leggi

Risorse KubeVirt

Il runtime della VM su GDC si basa sul progetto open source KubeVirt. Per impostazione predefinita, le autorizzazioni per le risorse KubeVirt vengono aggregate automaticamente nei ruoli Kubernetes predefiniti, in modo analogo alle risorse gestite dall'edizione Google Kubernetes Engine (GKE) Enterprise. Utilizza le informazioni sulle risorse nella tabella seguente se vuoi creare ruoli personalizzati:

Risorsa	Generato	A livello di cluster
virtualmachineinstances/console	–	–
virtualmachineinstances/vnc	–	–
virtualmachineinstances/portforward	–	–
virtualmachineinstances/inizio	–	–
virtualmachineinstances/fermata	–	–
virtualmachineinstances/riavvio	–	–
virtualmachines	Sì	–
virtualmachineinstances	Sì	–
datavolumes	–	–
storageprofiles	–	Sì
cdiconfigs	–	Sì

Risorse Kubernetes

Quando lavori con il runtime VM su GDC e VM, potresti dover gestire l'accesso alle seguenti risorse Kubernetes. Utilizza le informazioni sulle risorse nella tabella seguente se vuoi creare ruoli personalizzati:

Risorsa	Generato	A livello di cluster
pods	Sì	–
services	–	–
persistentvolumeclaims	–	–
secrets	–	–
nodes	–	Sì
storageclasses	–	Sì
configmaps	–	–

Esempi YAML ClusterRole

Puoi recuperare YAML per ClusterRoles con il seguente comando kubectl:

kubectl get ClusterRole CLUSTERROLE_NAME -o yaml --kubeconfig KUBECONFIG_PATH

Sostituisci quanto segue:

• CLUSTERROLE_NAME: il nome del ClusterRole, ad esempio kubevm.cluster.view.
• KUBECONFIG_PATH: il percorso del file kubeconfig per il cluster.

Ecco alcuni esempi dell'output comando per ciascuno dei quattro ClusterRole predefiniti:

• kubevm.admin

  apiVersion: rbac.authorization.k8s.io/v1
  kind: ClusterRole
  metadata:
    creationTimestamp: "2022-10-11T21:10:31Z"
    labels:
      kubevm: kubevm.admin
      rbac.authorization.k8s.io/aggregate-to-admin: "true"
    name: kubevm.admin
    resourceVersion: "16654950"
    uid: 3296c279-6e85-4ea6-b250-548bf0c3e935
  rules:
  - apiGroups:
    - vm.cluster.gke.io
    resources:
    - virtualmachineaccessrequests
    - virtualmachinedisks
    - virtualmachines
    - gpuallocations
    - guestenvironmentdata
    - vmruntimes
    - virtualmachinetypes
    - vmhighavailabilitypolicies
    verbs:
    - get
    - delete
    - create
    - update
    - patch
    - list
    - watch
    - deletecollection
  - apiGroups:
    - networking.gke.io
    resources:
    - networkinterfaces
    - networks
    verbs:
    - get
    - delete
    - create
    - update
    - patch
    - list
    - watch
    - deletecollection
  

• kubevm.edit

  apiVersion: rbac.authorization.k8s.io/v1
  kind: ClusterRole
  metadata:
    creationTimestamp: "2022-10-11T21:10:31Z"
    labels:
      kubevm: kubevm.edit
      rbac.authorization.k8s.io/aggregate-to-edit: "true"
    name: kubevm.edit
    resourceVersion: "16654951"
    uid: 237bf9ae-b2c8-4303-94dc-e6425a2df331
  rules:
  - apiGroups:
    - vm.cluster.gke.io
    resources:
    - virtualmachineaccessrequests
    - virtualmachinedisks
    - virtualmachines
    - gpuallocations
    - guestenvironmentdata
    - vmruntimes
    - virtualmachinetypes
    - vmhighavailabilitypolicies
    verbs:
    - get
    - delete
    - create
    - update
    - patch
    - list
    - watch
  - apiGroups:
    - networking.gke.io
    resources:
    - networkinterfaces
    - networks
    verbs:
    - get
    - delete
    - create
    - update
    - patch
    - list
    - watch
  

• kubevm.view

  apiVersion: rbac.authorization.k8s.io/v1
  kind: ClusterRole
  metadata:
    creationTimestamp: "2022-10-11T21:10:31Z"
    labels:
      kubevm: kubevm.view
      rbac.authorization.k8s.io/aggregate-to-view: "true"
    name: kubevm.view
    resourceVersion: "16654953"
    uid: b5b54e2d-0097-4698-abbd-aeac212d0a34
  rules:
  - apiGroups:
    - vm.cluster.gke.io
    resources:
    - virtualmachineaccessrequests
    - virtualmachinedisks
    - virtualmachines
    - gpuallocations
    - guestenvironmentdata
    - vmruntimes
    - virtualmachinetypes
    - vmhighavailabilitypolicies
    verbs:
    - get
    - list
    - watch
  - apiGroups:
    - networking.gke.io
    resources:
    - networkinterfaces
    - networks
    verbs:
    - get
    - list
    - watch
  

• kubevm.cluster.view

  apiVersion: rbac.authorization.k8s.io/v1
  kind: ClusterRole
  metadata:
    creationTimestamp: "2022-10-11T21:10:31Z"
    labels:
      kubevm: kubevm.cluster.view
    name: kubevm.cluster.view
    resourceVersion: "16654956"
    uid: b25dde64-67da-488b-81d2-1a08f9a4a7c1
  rules:
  - apiGroups:
    - vm.cluster.gke.io
    resources:
    - vmruntimes
    - virtualmachinetypes
    - vmhighavailabilitypolicies
    verbs:
    - get
    - list
    - watch
  - apiGroups:
    - networking.gke.io
    resources:
    - networks
    verbs:
    - get
    - list
    - watch