Kubernetes 角色

以下各節將說明 Kf 建立的 Kubernetes ClusterRoles,並列出每個 ClusterRole 中包含的權限。

聊天室開發人員角色

工作區開發人員角色會匯總應用程式開發人員用於在 Kf 工作區內部署及管理應用程式的權限。

您可以使用下列指令,擷取叢集中授予 Space 開發人員的權限。

kubectl describe clusterrole space-developer

Kf 的預設安裝作業提供下列權限:

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  secrets                                 []                 []              [*]
  *.kf.dev                                []                 []              [*]
  networkpolicies.networking.k8s.io       []                 []              [*]
  pods/exec                               []                 []              [create]
  *.upload.kf.dev                         []                 []              [create]
  pods/log                                []                 []              [get list watch]
  pods                                    []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

空間稽核人員角色

空間稽核人員角色會匯總稽核人員和自動化工具用於驗證 Kf 空間內應用程式的唯讀權限。

您可以使用下列指令,擷取叢集中授予 Space 稽核人員的權限。

kubectl describe clusterrole space-auditor

Kf 的預設安裝作業提供下列權限:

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  apps.kf.dev                             []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

聊天室管理員角色

聊天室管理員角色會匯總權限,讓您將工作委派給 Kf 聊天室中的其他人。

您可以使用下列指令,擷取叢集中授予聊天室管理員的權限。

kubectl describe clusterrole space-manager

Kf 的預設安裝作業提供下列權限:

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names     Verbs
  ---------                               -----------------  --------------     -----
  clusterroles.rbac.authorization.k8s.io  []                 [space-auditor]    [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-developer]  [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-manager]    [bind]
  rolebindings.rbac.authorization.k8s.io  []                 []                 [get list update patch watch]
  apps.kf.dev                             []                 []                 [get list watch]

動態聊天室管理員角色

每個 Kf Space 都會建立名為 SPACE_NAME-manager 的 ClusterRole,其中 SPACE_NAME-manager 稱為動態管理員角色。

Kf 會自動授予所有在工作區中具有 space-manager 角色的使用者,叢集範圍中的動態管理員角色。動態管理員角色的權限可讓聊天室管理員更新指定名稱的聊天室設定。

您可以使用下列指令,擷取叢集中任何工作區域中動態管理員角色的授權。

kubectl describe clusterrole SPACE_NAME-manager

Kf 的預設安裝作業提供下列權限:

PolicyRule:
  Resources      Non-Resource URLs  Resource Names  Verbs
  ---------      -----------------  --------------  -----
  spaces.kf.dev  []                 [SPACE_NAME]    [get list watch update patch]

Kf 叢集讀取者角色

Kf 會自動將 kf-cluster-reader 角色授予叢集中的所有使用者,這些使用者已在工作區中擁有 space-developerspace-auditorspace-manager 角色。

您可以使用下列指令,擷取授予叢集上的 Space Kf 叢集讀者權限。

kubectl describe clusterrole kf-cluster-reader

Kf 的預設安裝作業提供下列權限:

PolicyRule:
  Resources                     Non-Resource URLs  Resource Names  Verbs
  ---------                     -----------------  --------------  -----
  namespaces                    []                 [kf]            [get list watch]
  clusterservicebrokers.kf.dev  []                 []              [get list watch]
  spaces.kf.dev                 []                 []              [get list watch]