Блог

Я создал один главный и один рабочий кластер kubeadm, используя все настройки по умолчанию (за исключением изменения версии kubernetes на 1.13.4). В частности, включена только авторизация Node и RBAC, и я использую учетные данные администратора по умолчанию для доступа к кластеру, который аутентифицирует меня как пользователя kubernetes-admin и group system:masters (который привязан к кластерной роли администратора кластера) с клиентским сертификатом.

Затем я удалил кластерную роль администратора кластера, но у меня все еще есть полный доступ, включая, например, списки модулей. Почему это? Я заметил, что кластерная роль администратора кластера возвращается через некоторое время, но в промежуточный период я ожидал бы, что моих разрешений там не будет.

версия kubeadm:

 kubeadm version: amp;version.Info{Major:"1", Minor:"13", GitVersion:"v1.13.4", GitCommit:"c27b913fddd1a6c480c229191a087698aa92f0b1", GitTreeState:"clean", BuildDate:"2019-02-28T13:35:32Z", GoVersion:"go1.11.5", Compiler:"gc", Platform:"linux/amd64"}
  

версия kubernetes: 1.13.4

system:masters Группа (которая была указана как организация в моем клиентском сертификате) может обойти проверки RBAC: https://github.com/kubernetes/kubernetes/blob/master/pkg/registry/rbac/escalation_check.go#L38-L44