Le seguenti sezioni descrivono i ClusterRoles Kubernetes creati da Kf ed elencano le autorizzazioni contenute in ciascun ClusterRole.
Ruolo di sviluppatore dello spazio
Il ruolo Sviluppatore Space aggrega le autorizzazioni utilizzate dagli sviluppatori di applicazioni per eseguire il deployment e gestire le applicazioni all'interno di uno spazio Kf.
Puoi recuperare le autorizzazioni concesse agli sviluppatori dello spazio nel tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole space-developer
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Ruolo di revisore dello spazio
Il ruolo per il revisore dello spazio aggrega le autorizzazioni di sola lettura che i revisori e gli strumenti automatizzati utilizzano per convalidare le applicazioni all'interno di uno spazio Kf.
Puoi recuperare le autorizzazioni concesse ai revisori dello spazio sul tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole space-auditor
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Ruolo di gestore dello spazio
Il ruolo Gestore dello spazio aggrega le autorizzazioni che consentono la delega dei compiti ad altri all'interno di uno spazio Kf.
Puoi recuperare le autorizzazioni concesse ai gestori dello spazio nel tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole space-manager
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Ruolo Gestore dinamico dello spazio
Ogni Kf Space crea un ClusterRole con il nome SPACE_NAME-manager, dove SPACE_NAME-manager è chiamato il ruolo di gestore dinamico.
Kf concede automaticamente a tutti i soggetti con il ruolo space-manager all'interno di Spazia il ruolo Gestore dinamico nell'ambito del cluster. Le autorizzazioni per il ruolo di gestore dinamico consentono ai gestori dello spazio di aggiornare le impostazioni nello spazio con il nome specificato.
Puoi recuperare le autorizzazioni concesse al ruolo gestore dinamico per qualsiasi spazio nel cluster utilizzando il seguente comando.
kubectl describe clusterrole SPACE_NAME-manager
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Ruolo lettore cluster Kf
Kf concede automaticamente il ruolo kf-cluster-reader a tutti gli utenti di un cluster che dispongono già del ruolo space-developer, space-auditor o space-manager all'interno di uno spazio.
Puoi recuperare le autorizzazioni concesse ai lettori di cluster Space Kf nel tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole kf-cluster-reader
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]