Papéis do Kubernetes

As seções a seguir descrevem os ClusterRoles do Kubernetes criados pelo Kf e listam as permissões contidas em cada ClusterRole.

Papel de desenvolvedor do Space

O papel de desenvolvedor do Space agrega as permissões que os desenvolvedores de aplicativos usam para implantar e gerenciar aplicativos em um Space no Kf.

Use o comando a seguir para recuperar as permissões concedidas aos desenvolvedores do Space do cluster.

kubectl describe clusterrole space-developer

A instalação padrão do Kf oferece as seguintes permissões:

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  secrets                                 []                 []              [*]
  *.kf.dev                                []                 []              [*]
  networkpolicies.networking.k8s.io       []                 []              [*]
  pods/exec                               []                 []              [create]
  *.upload.kf.dev                         []                 []              [create]
  pods/log                                []                 []              [get list watch]
  pods                                    []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

Papel de auditor do Space

O papel de auditor do Space agrega permissões somente leitura que os auditores e as ferramentas automatizadas usam para validar aplicativos dentro de um Space do Kf.

Use o comando a seguir para recuperar as permissões concedidas aos auditores do Space no cluster.

kubectl describe clusterrole space-auditor

A instalação padrão do Kf oferece as seguintes permissões:

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  apps.kf.dev                             []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

Papel de administrador do Space

O papel de administrador do Space agrega permissões que permitem a delegação de tarefas a outras pessoas em um Space do Kf.

Para recuperar as permissões concedidas aos administradores do Space no cluster, use o comando a seguir.

kubectl describe clusterrole space-manager

A instalação padrão do Kf oferece as seguintes permissões:

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names     Verbs
  ---------                               -----------------  --------------     -----
  clusterroles.rbac.authorization.k8s.io  []                 [space-auditor]    [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-developer]  [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-manager]    [bind]
  rolebindings.rbac.authorization.k8s.io  []                 []                 [get list update patch watch]
  apps.kf.dev                             []                 []                 [get list watch]

Papel de gerente dinâmico do Space

Cada Space do Kf cria um ClusterRole com o nome SPACE_NAME-manager, em que SPACE_NAME-manager é chamado de papel de gerente dinâmico.

O Kf concede automaticamente a todos os indivíduos o papel space-manager no Space, o papel de gerente dinâmico no escopo do cluster. Com as permissões do papel de gerente dinâmico, os gerentes do Space podem atualizar as configurações no Space com o nome fornecido.

Use o comando a seguir para recuperar as permissões concedidas ao papel de gerenciador dinâmico de qualquer Space no cluster.

kubectl describe clusterrole SPACE_NAME-manager

A instalação padrão do Kf oferece as seguintes permissões:

PolicyRule:
  Resources      Non-Resource URLs  Resource Names  Verbs
  ---------      -----------------  --------------  -----
  spaces.kf.dev  []                 [SPACE_NAME]    [get list watch update patch]

Papel de leitor de cluster do Kf

O Kf concede automaticamente o papel kf-cluster-reader a todos os usuários em um cluster que já tem o papel space-developer, space-auditor ou space-manager em um Space.

É possível recuperar as permissões concedidas aos leitores de cluster do Space do Kf em seu cluster usando o comando a seguir.

kubectl describe clusterrole kf-cluster-reader

A instalação padrão do Kf oferece as seguintes permissões:

PolicyRule:
  Resources                     Non-Resource URLs  Resource Names  Verbs
  ---------                     -----------------  --------------  -----
  namespaces                    []                 [kf]            [get list watch]
  clusterservicebrokers.kf.dev  []                 []              [get list watch]
  spaces.kf.dev                 []                 []              [get list watch]