Le sezioni seguenti descrivono i ClusterRole di Kubernetes creati da Kf ed elencano le autorizzazioni contenute in ciascun ClusterRole.
Ruolo sviluppatore di spazi
Il ruolo Sviluppatore dello spazio aggrega le autorizzazioni utilizzate dagli sviluppatori di applicazioni per eseguire il deployment e gestire le applicazioni all'interno di uno spazio Kf.
Puoi recuperare le autorizzazioni concesse agli sviluppatori di Space sul tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole space-developer
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Ruolo di revisore dello spazio
Il ruolo di revisore dello spazio aggrega le autorizzazioni di sola lettura utilizzate dagli addetti al controllo e dagli strumenti automatici per convalidare le applicazioni all'interno di uno spazio Kf.
Puoi recuperare le autorizzazioni concesse agli auditor dello spazio nel tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole space-auditor
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Ruolo Gestore dello spazio
Il ruolo Gestore dello spazio aggrega le autorizzazioni che consentono di delegare i compiti ad altri utenti all'interno di uno spazio Kf.
Puoi recuperare le autorizzazioni concesse ai gestori dello spazio nel tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole space-manager
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Ruolo Gestore dello spazio dinamico
Ogni spazio Kf crea un ruoloClusterRole con il nome
SPACE_NAME-manager
, dove
SPACE_NAME-manager
è chiamato il ruolo di gestore dinamico.
Kf
concede automaticamente a tutti i soggetti con il ruolo space-manager
all'interno del
ruolo di gestore dinamico dello spazio a livello di cluster. Le autorizzazioni per il ruolo di gestore dinamico consentono ai gestori dello spazio di aggiornare le impostazioni dello spazio con il nome specificato.
Puoi recuperare le autorizzazioni concesse al ruolo di amministratore dinamico per qualsiasi Spazio nel tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole SPACE_NAME-manager
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Ruolo di lettore del cluster kf
Kf concede automaticamente il ruolo kf-cluster-reader
a tutti gli utenti di un cluster che dispongono già del ruolo space-developer
, space-auditor
o space-manager
all'interno di uno spazio.
Puoi recuperare le autorizzazioni concesse ai lettori del cluster Space Kf sul tuo cluster utilizzando il seguente comando.
kubectl describe clusterrole kf-cluster-reader
L'installazione predefinita di Kf fornisce le seguenti autorizzazioni:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]