Блог

Я развернул свои модули приложений в службе azure kubernetes через VSTS. У меня есть идея по kubernetes с RBAC в локальном кластере через create users. Теперь я хочу создать несколько ролей и назначить разные разрешения на ресурсы kubernetes для моих разработчиков и тестировщиков, а также в службе azure kubernetes. Я исследовал это и просматривал разные ссылки, но у меня не было никакого правильного представления об этом. Насколько я понимаю, мы можем назначать разрешения для ролей только пользователям, имеющим доступ к Azure Active Directory. если я ошибаюсь, кто-нибудь может меня поправить.

Я нашел один из способов, например, токены OpenID Connect. Для этого я перешел по следующей ссылке. но я понятия не имею, что именно такое поставщик удостоверений и как генерировать разные токены из поставщика удостоверений и идентификатора клиента и токена клиента, которые упомянуты в приведенной выше ссылке?

Может ли кто-нибудь помочь мне выполнить RBAC в службе Azure Kubernetes или любыми альтернативными способами для этого, а не теми, которые я упомянул выше?

Вы можете использовать RBAC Azure AD и / или внутренний RBAC k8s (который точно такой же, как в вашем локальном кластере).

Для Azure AD RBAC вы должны использовать тот же подход, что и для внутренних пользователей k8s, но вам нужно будет привязать роли к объектам Azure AD:

 apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
 name: binding_name
roleRef:
 apiGroup: rbac.authorization.k8s.io
 kind: ClusterRole
 name: cluster-admin
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: "azure_ad_group_guid"
  

Для внутреннего RBAC k8s ознакомьтесь с официальным документом.

Для Azure AD RBAC прочитайте официальный документ