Bagian berikut menjelaskan Kubernetes ClusterRoles yang dibuat oleh Kf dan mencantumkan izin yang terdapat di setiap ClusterRole.
Peran developer ruang
Peran developer Space menggabungkan izin yang digunakan developer aplikasi untuk men-deploy dan mengelola aplikasi dalam Kf Space.
Anda dapat mengambil izin yang diberikan kepada developer Ruang di cluster menggunakan perintah berikut.
kubectl describe clusterrole space-developer
Penginstalan default Kf menyediakan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Peran auditor ruang
Peran Auditor ruang menggabungkan izin hanya baca yang digunakan auditor dan alat otomatis untuk memvalidasi aplikasi dalam Kf Space.
Anda dapat mengambil izin yang diberikan ke auditor Ruang di cluster menggunakan perintah berikut.
kubectl describe clusterrole space-auditor
Penginstalan default Kf menyediakan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Peran pengelola ruang
Peran Pengelola ruang menggabungkan izin yang memungkinkan pendelegasian tugas kepada orang lain dalam Kf Space.
Anda dapat mengambil izin yang diberikan kepada Pengelola ruang di cluster menggunakan perintah berikut.
kubectl describe clusterrole space-manager
Penginstalan default Kf menyediakan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Peran pengelola Ruang Dinamis
Setiap Kf Space membuat ClusterRole dengan nama SPACE_NAME-manager, dengan SPACE_NAME-manager disebut sebagai peran pengelola dinamis.
Kf
akan otomatis memberi semua subjek dengan peran space-manager dalam
Ruang, peran pengelola dinamis pada cakupan cluster. Izin untuk
peran pengelola dinamis memungkinkan pengelola Ruang memperbarui setelan di Ruang dengan
nama tertentu.
Anda dapat mengambil izin yang diberikan ke peran pengelola dinamis untuk setiap Ruang di cluster menggunakan perintah berikut.
kubectl describe clusterrole SPACE_NAME-manager
Penginstalan default Kf menyediakan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Peran Pembaca Cluster Kf
Kf otomatis memberikan peran kf-cluster-reader kepada semua pengguna di
cluster yang sudah memiliki peran space-developer, space-auditor, atau space-manager
dalam Ruang.
Anda dapat mengambil izin yang diberikan ke pembaca cluster Space Kf di cluster Anda menggunakan perintah berikut.
kubectl describe clusterrole kf-cluster-reader
Penginstalan default Kf menyediakan izin berikut:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]