2
我運行一個GKE 1.8.4集羣,並看到有請求訪問資源的問題被允許,即使RBAC否認他們kubernetes RBAC不否認阻止訪問
原木/KUBE-apiserver.log (我已經更換了用戶名和我冒充的用戶名,在< 斜體>):
I1218 13:30:38.644205 5 httplog.go:64] & {< my_user> [系統:認證]地圖[]}充當& {< other_user> [系統:認證]映射[]}
I1218 13:30:38.644297 5 rbac.go:116] RBAC DENY:用戶 「< other_user>」 基團[ 「系統:認證」 ]在命名空間「prod」中不能「列出」資源「祕密」
I1218 13:30:38.676079 5 wrap.go:42] GET/api/v1/namespaces/prod/secrets:(32.043196ms)200 [[kubectl /v1.8.4(LINUX/AMD64)kubernetes/9befc2b]
爲什麼API程序的獲取RBAC後DENY(最終回的祕密在迴應我kubectl CMD)?
FWIW我kubectl cmd是:kubectl get secrets --namespace prod --as <other_user>
我懷疑還有另外一個授權人多數民衆贊成允許它,雖然我已經做了我所知道的,以確保一切沒有(ABAC應該被禁用,因爲我在1.8,谷歌的雲控制檯顯示它作爲被禁用,並且我看到「legacyAbac:{}」中從gcloud測試容器簇的響應描述)
啊,我完全應該檢查一下!即使在檢查了大量的在線資源之後,我仍然沒有意識到webhook授權者默認啓用了,但它現在確實帶來了負載 我將整理我們的GKE IAM。非常感謝喬丹! – eversMcc