In den folgenden Abschnitten werden die von Kf erstellten Kubernetes ClusterRoles beschrieben und die Berechtigungen aufgeführt, die in jeder ClusterRole enthalten sind.
Rolle "Space-Entwickler"
Die Rolle "Space-Entwickler" aggregiert Berechtigungen, mit denen Entwickler Anwendungen in einem Kf Space bereitstellen und verwalten.
Mit dem folgenden Befehl können Sie die Berechtigungen abrufen, die Space-Entwicklern in Ihrem Cluster gewährt wurden.
kubectl describe clusterrole space-developerDie Standardinstallation von Kf bietet die folgenden Berechtigungen:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Rolle "Space-Prüfer"
Die Rolle "Space-Prüfer" aggregiert schreibgeschützte Berechtigungen, die Prüfer und automatisierte Tools verwenden, um Anwendungen in einem Kf Space zu validieren.
Mit dem folgenden Befehl können Sie die Berechtigungen abrufen, die Space-Prüfern in Ihrem Cluster gewährt wurden.
kubectl describe clusterrole space-auditorDie Standardinstallation von Kf bietet die folgenden Berechtigungen:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Rolle "Space-Manager"
Die Rolle „Space Manager“ aggregiert Berechtigungen, mit denen Aufgaben an andere Personen im Kf Space delegiert werden können.
Mit dem folgenden Befehl können Sie die Berechtigungen abrufen, die Space-Managern in Ihrem Cluster gewährt wurden.
kubectl describe clusterrole space-managerDie Standardinstallation von Kf bietet die folgenden Berechtigungen:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Rolle "Dynamischer Space-Manager"
Jeder Kf Space erstellt eine ClusterRole mit dem Namen SPACE_NAME-manager, wobei SPACE_NAME-manager als dynamische Manager-Rolle bezeichnet wird.
Kf gewährt automatisch allen Subjekten mit der Rolle space-manager im Space die dynamische Manager-Rolle im Clusterbereich. Die Berechtigungen für die dynamische Manager-Rolle ermöglichen es Space-Managern, die Einstellungen im Space mit dem angegebenen Namen zu aktualisieren.
Mit dem folgenden Befehl können Sie die Berechtigungen, die der dynamischen Managerrolle für jeden Space in Ihrem Cluster zugewiesen sind, abrufen.
kubectl describe clusterrole SPACE_NAME-managerDie Standardinstallation von Kf bietet die folgenden Berechtigungen:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Rolle „Kf-Cluster-Leser“
Kf weist automatisch allen Nutzern, die in einem Space bereits die Rolle space-developer, space-auditor oder space-manager haben, in einem Cluster automatisch die Rolle kf-cluster-reader zu.
Mit dem folgenden Befehl können Sie die Berechtigungen, die den Space Kf-Cluster-Lesern auf Ihrem Cluster gewährten wurden, abrufen.
kubectl describe clusterrole kf-cluster-readerDie Standardinstallation von Kf bietet die folgenden Berechtigungen:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]