Bagian berikut menjelaskan ClusterRole Kubernetes yang dibuat oleh Kf dan mencantumkan izin yang terdapat dalam setiap ClusterRole.
Peran developer ruang
Peran developer Ruang menggabungkan izin yang digunakan developer aplikasi untuk men-deploy dan mengelola aplikasi dalam Ruang Kf.
Anda dapat mengambil izin yang diberikan kepada developer Ruang di cluster menggunakan perintah berikut.
kubectl describe clusterrole space-developerPenginstalan default Kf memberikan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Peran auditor ruang
Peran auditor Ruang menggabungkan izin hanya baca yang digunakan auditor dan alat otomatis untuk memvalidasi aplikasi dalam Ruang Kf.
Anda dapat mengambil izin yang diberikan kepada auditor Ruang di cluster menggunakan perintah berikut.
kubectl describe clusterrole space-auditorPenginstalan default Kf memberikan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Peran pengelola ruang
Peran pengelola Ruang menggabungkan izin yang memungkinkan delegasi tugas kepada orang lain dalam Ruang Kf.
Anda dapat mengambil izin yang diberikan kepada Pengelola ruang di cluster menggunakan perintah berikut.
kubectl describe clusterrole space-managerPenginstalan default Kf memberikan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Peran Pengelola Ruang dinamis
Setiap Ruang Kf membuat ClusterRole dengan nama
SPACE_NAME-manager, dengan
SPACE_NAME-manager disebut peran pengelola dinamis.
Kf
otomatis memberikan peran space-manager kepada semua subjek dalam
Ruang, yaitu peran pengelola dinamis pada cakupan cluster. Izin untuk
peran pengelola dinamis memungkinkan Pengelola ruang memperbarui setelan di Ruang dengan
nama yang diberikan.
Anda dapat mengambil izin yang diberikan ke peran pengelola dinamis untuk setiap Ruang di cluster menggunakan perintah berikut.
kubectl describe clusterrole SPACE_NAME-managerPenginstalan default Kf memberikan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Peran pembaca cluster kf
Kf secara otomatis memberikan peran kf-cluster-reader kepada semua pengguna di
cluster yang sudah memiliki peran space-developer, space-auditor, atau space-manager
dalam Ruang.
Anda dapat mengambil izin yang diberikan kepada pembaca cluster Space Kf di cluster menggunakan perintah berikut.
kubectl describe clusterrole kf-cluster-readerPenginstalan default Kf memberikan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]