Kubernetes 역할

다음 섹션에서는 Kf에서 생성된 Kubernetes ClusterRole을 설명하고 각 ClusterRole에 포함된 권한을 보여줍니다.

공간 개발자 역할

공간 개발자 역할은 애플리케이션 개발자가 Kf 공간 내에서 애플리케이션을 배포하고 관리하는 데 사용하는 권한을 집계합니다.

다음 명령어를 사용하여 클러스터의 공간 개발자에게 부여된 권한을 검색할 수 있습니다.

kubectl describe clusterrole space-developer

기본 설치 Kf는 다음 권한을 제공합니다.

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  secrets                                 []                 []              [*]
  *.kf.dev                                []                 []              [*]
  networkpolicies.networking.k8s.io       []                 []              [*]
  pods/exec                               []                 []              [create]
  *.upload.kf.dev                         []                 []              [create]
  pods/log                                []                 []              [get list watch]
  pods                                    []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

공간 감사자 역할

공간 감사자 역할은 감사자 및 자동화 도구가 Kf 공간 내에서 애플리케이션의 유효성을 검사하는 데 사용하는 읽기 전용 권한을 집계합니다.

다음 명령어를 사용하여 클러스터의 공간 감사자에게 부여된 권한을 검색할 수 있습니다.

kubectl describe clusterrole space-auditor

기본 설치 Kf는 다음 권한을 제공합니다.

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  apps.kf.dev                             []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

공간 관리자 역할

공간 관리자 역할은 Kf Space 내의 다른 구성원에게 위임할 수 있는 권한을 집계합니다.

다음 명령어를 사용하여 클러스터의 공간 관리자에게 부여된 권한을 검색할 수 있습니다.

kubectl describe clusterrole space-manager

기본 설치 Kf는 다음 권한을 제공합니다.

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names     Verbs
  ---------                               -----------------  --------------     -----
  clusterroles.rbac.authorization.k8s.io  []                 [space-auditor]    [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-developer]  [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-manager]    [bind]
  rolebindings.rbac.authorization.k8s.io  []                 []                 [get list update patch watch]
  apps.kf.dev                             []                 []                 [get list watch]

동적 공간 관리자 역할

각 Kf 공간은 SPACE_NAME-manager라는 ClusterRole을 만듭니다. 여기서 SPACE_NAME-manager는 동적 관리자 역할입니다.

Kf는 공간 내에서 space-manager 역할이 있는 모든 대상에게 클러스터 범위의 동적 관리자 역할을 자동으로 부여합니다. 동적 관리자 역할의 권한을 통해 공간 관리자는 지정된 이름으로 공간의 설정을 업데이트할 수 있습니다.

다음 명령어를 사용하여 클러스터의 모든 공간의 동적 관리자 역할에 부여된 권한을 검색할 수 있습니다.

kubectl describe clusterrole SPACE_NAME-manager

기본 설치 Kf는 다음 권한을 제공합니다.

PolicyRule:
  Resources      Non-Resource URLs  Resource Names  Verbs
  ---------      -----------------  --------------  -----
  spaces.kf.dev  []                 [SPACE_NAME]    [get list watch update patch]

Kf 클러스터 리더 역할

Kf는 공간 내에서 이미 space-developer, space-auditor 또는 space-manager 역할을 가진 클러스터의 모든 사용자에게 kf-cluster-reader 역할을 자동으로 부여합니다.

다음 명령어를 사용하여 클러스터에서 Space Kf 클러스터 리더에게 부여된 권한을 검색할 수 있습니다.

kubectl describe clusterrole kf-cluster-reader

기본 설치 Kf는 다음 권한을 제공합니다.

PolicyRule:
  Resources                     Non-Resource URLs  Resource Names  Verbs
  ---------                     -----------------  --------------  -----
  namespaces                    []                 [kf]            [get list watch]
  clusterservicebrokers.kf.dev  []                 []              [get list watch]
  spaces.kf.dev                 []                 []              [get list watch]