Antes de empezar
Sigue la guía de RBAC de GKE antes de continuar con los pasos siguientes.
Configurar Gestión de Identidades y Accesos (IAM)
Además de los permisos concedidos a través del control de acceso basado en roles de Kf, los usuarios, los grupos o las cuentas de servicio también deben autenticarse para ver los clústeres de GKE a nivel de proyecto. Este requisito es el mismo que para configurar el control de acceso basado en roles de GKE, lo que significa que los usuarios o grupos deben tener al menos el permiso de gestión de identidades y accesos container.clusters.get en el proyecto que contiene el clúster. Este permiso se incluye en el rol container.clusterViewer y en otros roles con más privilegios. Para obtener más información, consulta Interacción con Gestión de Identidades y Accesos.
Asigna container.clusterViewer a un usuario o grupo.
gcloud projects add-iam-policy-binding ${CLUSTER_PROJECT_ID} \
--role="container.clusterViewer" \
--member="${MEMBER}"Estos son algunos valores de ejemplo:
- user:test-user@gmail.com
- group:admins@example.com
- serviceAccount:test123@example.domain.com
Gestionar la pertenencia a un espacio como administrador del espacio
El rol de administrador del clúster o los miembros con el rol SpaceManager pueden asignar roles a usuarios, grupos o cuentas de servicio.
kf set-space-role MEMBER -t [Group|ServiceAccount|User]El rol de administrador del clúster o los miembros con el rol SpaceManager pueden quitar un miembro de un rol.
kf unset-space-role MEMBER -t [Group|ServiceAccount|User]Puedes ver los miembros y sus roles en un espacio.
kf space-usersEjemplos:
Asigna el rol SpaceDeveloper a un usuario.
kf set-space-role alice@example.com SpaceDeveloperAsigna el rol SpaceDeveloper a un grupo.
kf set-space-role devs@example.com SpaceDeveloper -t GroupAsigna el rol SpaceDeveloper a una cuenta de servicio.
kf set-space-role sa-dev@example.domain.com SpaceDeveloper -t ServiceAccountDesarrollo de aplicaciones como SpaceDeveloper
Los miembros con el rol SpaceDeveloper pueden realizar operaciones de desarrollo de aplicaciones de Kf en el espacio.
Para enviar una aplicación:
kf push app_name -p [PATH_TO_APP_ROOT_DIRECTORY]Para ver los registros de una aplicación, sigue estos pasos:
posix-terminal
kf logs app_name
Accede a un pod de Kubernetes que ejecute la aplicación mediante SSH:
posix-terminal
kf ssh app_name
Ver los agentes de servicio disponibles:
kf marketplaceVer aplicaciones como administrador o auditor de espacio
Los miembros con el rol Administrador del espacio o Auditor del espacio pueden ver las aplicaciones disponibles en el espacio:
kf appsVer espacios de Kf en un clúster
Todos los roles (SpaceManager, SpaceDeveloper y SpaceAuditor) pueden ver los espacios de Kf disponibles en un clúster:
kf spacesVer los miembros de un espacio y sus roles en él.
kf space-usersMarcas de suplantación de identidad
Para verificar el permiso de un miembro, un miembro con un permiso más privilegiado puede probar los permisos de otro miembro mediante las marcas de suplantación de identidad --as y --as-group.
Por ejemplo, como administrador de clúster, puedes verificar si un usuario (nombre de usuario: bob) tiene permiso para enviar una aplicación.
kf push APP_NAME --as bobVerifica que un grupo (manager-group@example.com) tenga permiso para asignar permisos a otros miembros.
kf set-space-role bob SpaceDeveloper --as-group manager-group@example.com