Kubernetes 角色

以下部分介绍了 Kf 创建的 Kubernetes ClusterRole，并列出了每个 ClusterRole 中包含的权限。

空间开发者角色

空间开发者角色汇总了应用开发者用于在 Kf 空间中部署和管理应用的权限。

您可以使用以下命令检索针对集群向空间开发者授予的权限。

kubectl describe clusterrole space-developer

Kf 的默认安装可提供以下权限：

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  secrets                                 []                 []              [*]
  *.kf.dev                                []                 []              [*]
  networkpolicies.networking.k8s.io       []                 []              [*]
  pods/exec                               []                 []              [create]
  *.upload.kf.dev                         []                 []              [create]
  pods/log                                []                 []              [get list watch]
  pods                                    []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

空间审核员角色

空间审核员角色汇总了审核员和自动化工具用于在 Kf 空间中验证应用的只读权限。

您可以使用以下命令检索针对集群向空间审核员授予的权限。

kubectl describe clusterrole space-auditor

Kf 的默认安装可提供以下权限：

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  apps.kf.dev                             []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

空间管理员角色

空间管理员角色汇总了允许向 Kf 空间中的其他人委派职责的权限。

您可以使用以下命令检索针对集群向空间管理员授予的权限。

kubectl describe clusterrole space-manager

Kf 的默认安装可提供以下权限：

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names     Verbs
  ---------                               -----------------  --------------     -----
  clusterroles.rbac.authorization.k8s.io  []                 [space-auditor]    [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-developer]  [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-manager]    [bind]
  rolebindings.rbac.authorization.k8s.io  []                 []                 [get list update patch watch]
  apps.kf.dev                             []                 []                 [get list watch]

动态空间管理员角色

每个 Kf Space 都会创建一个名为 SPACE_NAME-manager 的 ClusterRole，其中 SPACE_NAME-manager 为动态管理员角色。

Kf 会自动为空间中具有 space-manager 角色的所有主体授予集群范围的动态管理员角色。动态管理员角色的权限允许空间管理员更新具有给定名称的空间的设置。

您可以使用以下命令检索针对集群向任何空间的动态管理员角色授予的权限。

kubectl describe clusterrole SPACE_NAME-manager

Kf 的默认安装可提供以下权限：

PolicyRule:
  Resources      Non-Resource URLs  Resource Names  Verbs
  ---------      -----------------  --------------  -----
  spaces.kf.dev  []                 [SPACE_NAME]    [get list watch update patch]

Kf 集群 Reader 角色

Kf 会自动针对集群向空间中已具有 space-developer、space-auditor 或 space-manager 角色的所有用户分配 kf-cluster-reader 角色。

您可以使用以下命令检索针对集群向空间 Kf 集群读取者授予的权限。

kubectl describe clusterrole kf-cluster-reader

Kf 的默认安装可提供以下权限：

PolicyRule:
  Resources                     Non-Resource URLs  Resource Names  Verbs
  ---------                     -----------------  --------------  -----
  namespaces                    []                 [kf]            [get list watch]
  clusterservicebrokers.kf.dev  []                 []              [get list watch]
  spaces.kf.dev                 []                 []              [get list watch]