Пример назначения прав администратору кластера

Example of assigning rights to a cluster administrator

Пример использует экспериментальную ролевую модель.

The example uses the experimental role-based.

Для назначения прав администратору кластера используйте роль d8:manage:all:manager в ClusterRoleBinding.

To grant access to a cluster administrator, use the role d8:manage:all:manager in ClusterRoleBinding.

Пример назначения прав администратору кластера (User joe):

Example of assigning rights to a cluster administrator (User joe):

Права, которые получит пользователь, будут ограничены рамками пространств имён, начинающихся с d8- или kube-.

The rights that the user will get will be limited to namespaces starting with d8- or kube-.

Пользователю будут доступны следующие права:

• Просмотр, изменение, удаление и создание ресурсов Kubernetes и модулей DKP.
• Изменение конфигурации модулей (просмотр, изменение, удаление и создание ресурсов moduleConfig).
• Выполнение следующих команд к подам и сервисам:
• kubectl attach;
• kubectl exec;
• kubectl port-forward;
• kubectl proxy.

The user will be able to:

• View, modify, delete, and create Kubernetes resources and DKP modules;
• Modify module configurations (view, modify, delete, and create moduleConfig resources);
• Execute the following commands on pods and services:
• kubectl attach
• kubectl exec
• kubectl port-forward
• kubectl proxy

Пример назначения прав сетевому администратору

Example of assigning rights to a network administrator

Пример использует экспериментальную ролевую модель.

The example uses the experimental role-based.

Для назначения прав сетевому администратору на управление сетевой подсистемой кластера используйте роль d8:manage:networking:manager в ClusterRoleBinding.

To grant a network administrator access to manage the network subsystem of the cluster, use the role d8:manage:networking:manager in ClusterRoleBinding.

Пример назначения прав сетевому администратору (User joe):

Example of assigning rights to a network administrator (User joe):

Права, которые получит пользователь, будут ограничены следующим списком пространств имён модулей DKP из подсистемы networking (фактический список зависит от списка включённых в кластере модулей):

• d8-cni-cilium;
• d8-cni-flannel;
• d8-cni-simple-bridge;
• d8-ingress-nginx;
• d8-istio;
• d8-metallb;
• d8-network-gateway;
• d8-openvpn;
• d8-static-routing-manager;
• d8-system;
• kube-system.

The rights that the user will get will be limited to the following list of DKP module namespaces from the networking subsystem (the actual list depends on the list of modules included in the cluster):

• d8-cni-cilium
• d8-cni-flannel
• d8-cni-simple-bridge
• d8-ingress-nginx
• d8-istio
• d8-metallb
• d8-network-gateway
• d8-openvpn
• d8-static-routing-manager
• d8-system
• kube-system

Пользователю будут доступны следующие права:

• Просмотр, изменение, удаление и создание стандартных ресурсов Kubernetes в пространстве имён модулей из подсистемы networking.

The user will be able to:

• View, modify, delete, and create standard Kubernetes resources in the module namespace from the networking subsystem.

Пример ресурсов, которыми сможет управлять пользователь (список не полный):

• Certificate;
• CertificateRequest;
• ConfigMap;
• ControllerRevision;
• CronJob;
• DaemonSet;
• Deployment;
• Event;
• HorizontalPodAutoscaler;
• Ingress;
• Issuer;
• Job;
• Lease;
• LimitRange;
• NetworkPolicy;
• PersistentVolumeClaim;
• Pod;
• PodDisruptionBudget;
• ReplicaSet;
• ReplicationController;
• ResourceQuota;
• Role;
• RoleBinding;
• Secret;
• Service;
• ServiceAccount;
• StatefulSet;
• VerticalPodAutoscaler;
• VolumeSnapshot.

Example of resources that the user will be able to manage (the list is not exhaustive):

• Certificate
• CertificateRequest
• ConfigMap
• ControllerRevision
• CronJob
• DaemonSet
• Deployment
• Event
• HorizontalPodAutoscaler
• Ingress
• Issuer
• Job
• Lease
• LimitRange
• NetworkPolicy
• PersistentVolumeClaim
• Pod
• PodDisruptionBudget
• ReplicaSet
• ReplicationController
• ResourceQuota
• Role
• RoleBinding
• Secret
• Service
• ServiceAccount
• StatefulSet
• VerticalPodAutoscaler
• VolumeSnapshot

• Просмотр, изменение, удаление и создание ресурсов в пространстве имён модулей из подсистемы networking.

• View, modify, delete, and create the following resources in the modules namespace from the networking subsystem:

Список ресурсов, которыми сможет управлять пользователь:

• EgressGateway;
• EgressGatewayPolicy;
• FlowSchema;
• IngressClass;
• IngressIstioController;
• IngressNginxController;
• IPRuleSet;
• IstioFederation;
• IstioMulticluster;
• RoutingTable.

A list of resources that the user will be able to manage:

• EgressGateway
• EgressGatewayPolicy
• FlowSchema
• IngressClass
• IngressIstioController
• IngressNginxController
• IPRuleSet
• IstioFederation
• IstioMulticluster
• RoutingTable

• Изменение конфигурации модулей (просмотр, изменение, удаление и создание ресурсов moduleConfig) из подсистемы networking.

• Modify the configuration of modules (view, change, delete, and create moduleConfig resources) from the networking subsystem.

Список модулей, которыми сможет управлять пользователь:

• cilium-hubble;
• cni-cilium;
• cni-flannel;
• cni-simple-bridge;
• flow-schema;
• ingress-nginx;
• istio;
• kube-dns;
• kube-proxy;
• metallb;
• network-gateway;
• network-policy-engine;
• node-local-dns;
• openvpn;
• static-routing-manager.

List of modules that the user will be able to manage:

• cilium-hubble
• cni-cilium
• cni-flannel
• cni-simple-bridge
• flow-schema
• ingress-nginx
• istio
• kube-dns
• kube-proxy
• metallb
• network-gateway
• network-policy-engine
• node-local-dns
• openvpn
• static-routing-manager
• Execute the following commands with pods and services in the modules namespace from the networking subsystem:
• kubectl attach
• kubectl exec
• kubectl port-forward
• kubectl proxy

• Выполнение следующих команд к подам и сервисам в пространстве имён модулей из подсистемы networking:
• kubectl attach;
• kubectl exec;
• kubectl port-forward;
• kubectl proxy.

Example of assigning administrative rights to a user within a namespace

Пример назначения административных прав пользователю в рамках пространства имён

The example uses the experimental role-based.

Пример использует экспериментальную ролевую модель.

To assign rights to a user manage application resources within a namespace, but without the ability to configure DKP modules, use the role d8:use:role:admin in RoleBinding in the corresponding namespace.

Для назначения прав на управление ресурсами приложений в рамках пространства имён, но без возможности настройки модулей DKP, используйте роль d8:use:role:admin в RoleBinding в соответствующем пространстве имён.

Example of assigning rights to an application developer (User app-developer) in namespace myapp:

Пример назначения прав разработчику приложений (User app-developer) в пространстве имён myapp:

yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: myapp-developer namespace: myapp subjects:

• kind: User name: app-developer apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: d8:use:role:admin apiGroup: rbac.authorization.k8s.io

yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: myapp-developer namespace: myapp subjects:

• kind: User name: app-developer apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: d8:use:role:admin apiGroup: rbac.authorization.k8s.io

In the myapp namespace, the user will be able to:

• View, modify, delete, and create Kubernetes resources. For example, the following resources (the list is not exhaustive):
• Certificate
• CertificateRequest
• ConfigMap
• ControllerRevision
• CronJob
• DaemonSet
• Deployment
• Event
• HorizontalPodAutoscaler
• Ingress
• Issuer
• Job
• Lease
• LimitRange
• NetworkPolicy
• PersistentVolumeClaim
• Pod
• PodDisruptionBudget
• ReplicaSet
• ReplicationController
• ResourceQuota
• Role
• RoleBinding
• Secret
• Service
• ServiceAccount
• StatefulSet
• VerticalPodAutoscaler
• VolumeSnapshot
• View, edit, delete, and create the following DKP module resources:
• DexAuthenticator
• DexClient
• PodLogginConfig
• Execute the following commands for pods and services:
• kubectl attach
• kubectl exec
• kubectl port-forward
• kubectl proxy

В рамках пространства имён myapp пользователю будут доступны следующие права:

• Просмотр, изменение, удаление и создание ресурсов Kubernetes. Например, следующих ресурсов (список не полный):
• Certificate;
• CertificateRequest;
• ConfigMap;
• ControllerRevision;
• CronJob;
• DaemonSet;
• Deployment;
• Event;
• HorizontalPodAutoscaler;
• Ingress;
• Issuer;
• Job;
• Lease;
• LimitRange;
• NetworkPolicy;
• PersistentVolumeClaim;
• Pod;
• PodDisruptionBudget;
• ReplicaSet;
• ReplicationController;
• ResourceQuota;
• Role;
• RoleBinding;
• Secret;
• Service;
• ServiceAccount;
• StatefulSet;
• VerticalPodAutoscaler;
• VolumeSnapshot.
• Просмотр, изменение, удаление и создание следующих ресурсов модулей DKP:
• DexAuthenticator;
• DexClient;
• PodLogginConfig.
• Выполнение следующих команд к подам и сервисам:
• kubectl attach;
• kubectl exec;
• kubectl port-forward;
• kubectl proxy.

An example of ClusterAuthorizationRule

Пример ClusterAuthorizationRule

yaml apiVersion: deckhouse.io/v1 kind: ClusterAuthorizationRule metadata: name: test-rule spec: subjects:

• kind: User name: some@example.com
• kind: ServiceAccount name: gitlab-runner-deploy namespace: d8-service-accounts
• kind: Group name: some-group-name accessLevel: PrivilegedUser portForwarding: true This option is only available if the enableMultiTenancy parameter is set (Enterprise Edition version) allowAccessToSystemNamespaces: false This option is only available if the enableMultiTenancy parameter is set (Enterprise Edition version) namespaceSelector: labelSelector: matchExpressions:
• key: stage operator: In values:
• test
• review matchLabels: team: frontend

yaml apiVersion: deckhouse.io/v1 kind: ClusterAuthorizationRule metadata: name: test-rule spec: subjects:

• kind: User name: some@example.com
• kind: ServiceAccount name: gitlab-runner-deploy namespace: d8-service-accounts
• kind: Group name: some-group-name accessLevel: PrivilegedUser portForwarding: true Опция доступна только при включенном режиме enableMultiTenancy (версия Enterprise Edition). allowAccessToSystemNamespaces: false Опция доступна только при включенном режиме enableMultiTenancy (версия Enterprise Edition). namespaceSelector: labelSelector: matchExpressions:
• key: stage operator: In values:
• test
• review matchLabels: team: frontend

Creating a user

Создание пользователя

There are two types of users in Kubernetes:

В Kubernetes есть две категории пользователей:

• Service accounts managed by Kubernetes via the API;
• Regular users managed by some external tool that the cluster administrator configures. There are many authentication mechanisms and, accordingly, many ways to create users. Currently, two authentication methods are supported:
• Via the user-authn module.
• Via the certificates.

• ServiceAccount’ы, учёт которых ведёт сам Kubernetes через API.
• Остальные пользователи, учёт которых ведёт не сам Kubernetes, а некоторый внешний софт, который настраивает администратор кластера, — существует множество механизмов аутентификации и, соответственно, множество способов заводить пользователей. В настоящий момент поддерживаются два способа аутентификации:
• через модуль user-authn;
• с помощью сертификатов.

When issuing the authentication certificate, you need to specify the name (CN=<name>), the required number of groups (O=<group>), and sign it using the root CA of the cluster. It is this mechanism that authenticates you in the cluster when, for example, you use kubectl on a bastion node.

При выпуске сертификата для аутентификации нужно указать в нём имя (CN=<имя>), необходимое количество групп (O=<группа>) и подписать его с помощью корневого CA-кластера. Именно этим механизмом вы аутентифицируетесь в кластере, когда, например, используете kubectl на bastion-узле.

Creating a ServiceAccount for a machine and granting it access

Создание ServiceAccount для сервера и предоставление ему доступа

You may need to create a ServiceAccount with access to the Kubernetes API when, for example, an application is deployed using a CI system.

Создание ServiceAccount с доступом к Kubernetes API может потребоваться, например, при настройке развёртывания приложений через CI-системы.

1. Create a ServiceAccount, e.g., in the d8-service-accounts namespace:

1. Создайте ServiceAccount, например в пространстве имён d8-service-accounts:

shell kubectl create -f - «EOF apiVersion: v1 kind: ServiceAccount metadata: name: gitlab-runner-deploy namespace: d8-service-accounts — apiVersion: v1 kind: Secret metadata: name: gitlab-runner-deploy-token namespace: d8-service-accounts annotations: kubernetes.io/service-account.name: gitlab-runner-deploy type: kubernetes.io/service-account-token EOF

shell kubectl create -f - «EOF apiVersion: v1 kind: ServiceAccount metadata: name: gitlab-runner-deploy namespace: d8-service-accounts — apiVersion: v1 kind: Secret metadata: name: gitlab-runner-deploy-token namespace: d8-service-accounts annotations: kubernetes.io/service-account.name: gitlab-runner-deploy type: kubernetes.io/service-account-token EOF

1. Grant it the necessary privileges (using the ClusterAuthorizationRule custom resource):

1. Дайте необходимые ServiceAccount-права (используя custom resource ClusterAuthorizationRule):

shell kubectl create -f - «EOF apiVersion: deckhouse.io/v1 kind: ClusterAuthorizationRule metadata: name: gitlab-runner-deploy spec: subjects:

• kind: ServiceAccount name: gitlab-runner-deploy namespace: d8-service-accounts accessLevel: SuperAdmin This option is only available if the enableMultiTenancy parameter is set (Enterprise Edition version) allowAccessToSystemNamespaces: true
  EOF

shell kubectl create -f - «EOF apiVersion: deckhouse.io/v1 kind: ClusterAuthorizationRule metadata: name: gitlab-runner-deploy spec: subjects:

• kind: ServiceAccount name: gitlab-runner-deploy namespace: d8-service-accounts accessLevel: SuperAdmin Опция доступна только при включенном режиме enableMultiTenancy (версия Enterprise Edition). allowAccessToSystemNamespaces: true
  EOF

If multitenancy is enabled in the Deckhouse configuration (the enableMultiTenancy parameter; it is only available in Enterprise Edition), configure the namespaces the ServiceAccount has access to (the namespaceSelector parameter).

Если в конфигурации Deckhouse включён режим мультитенантности (параметр enableMultiTenancy, доступен только в Enterprise Edition), настройте доступные для ServiceAccount пространства имён (параметр namespaceSelector).

1. Set the variable values (they will be used later) by running the following commands (insert your own values):

1. Определите значения переменных (они будут использоваться далее), выполнив следующие команды (подставьте свои значения):

shell export CLUSTER_NAME=my-cluster export USER_NAME=gitlab-runner-deploy.my-cluster export CONTEXT_NAME=${CLUSTER_NAME}-${USER_NAME} export FILE_NAME=kube.config

shell export CLUSTER_NAME=my-cluster export USER_NAME=gitlab-runner-deploy.my-cluster export CONTEXT_NAME=${CLUSTER_NAME}-${USER_NAME} export FILE_NAME=kube.config

1. Generate the cluster section in the kubectl configuration file:

1. Сгенерируйте секцию cluster в файле конфигурации kubectl:

Use one of the following options to access the cluster API server:

Используйте один из следующих вариантов доступа к API-серверу кластера:

• If there is direct access to the API server:
  1. Get a Kubernetes cluster CA certificate:

• Если есть прямой доступ до API-сервера:
  1. Получите сертификат CA-кластера Kubernetes:

shell kubectl get cm kube-root-ca.crt -o jsonpath=’{ .data.ca.crt }’ > /tmp/ca.crt

shell kubectl get cm kube-root-ca.crt -o jsonpath=’{ .data.ca.crt }’ > /tmp/ca.crt

1. Generate the cluster section (the API server’s IP address is used for access):

1. Сгенерируйте секцию cluster (используется IP-адрес API-сервера для доступа):

shell kubectl config set-cluster $CLUSTER_NAME –embed-certs=true
–server=https://$(kubectl get ep kubernetes -o json | jq -rc ‘.subsets[0] | “(.addresses[0].ip):(.ports[0].port)”’)
–certificate-authority=/tmp/ca.crt
–kubeconfig=$FILE_NAME

shell kubectl config set-cluster $CLUSTER_NAME –embed-certs=true
–server=https://$(kubectl get ep kubernetes -o json | jq -rc ‘.subsets[0] | “(.addresses[0].ip):(.ports[0].port)”’)
–certificate-authority=/tmp/ca.crt
–kubeconfig=$FILE_NAME

• If there is no direct access to the API server, use one of the following options:
• enable access to the API-server over the Ingress controller (the publishAPI parameter) and specify the addresses from which requests originate (the whitelistSourceRanges parameter);
• specify addresses from which requests will originate in a separate Ingress controller (the acceptRequestsFrom parameter).

• Если прямого доступа до API-сервера нет, используйте один следующих вариантов:
• включите доступ к API-серверу через Ingress-контроллер (параметр publishAPI) и укажите адреса, с которых будут идти запросы (параметр whitelistSourceRanges);
• укажите адреса, с которых будут идти запросы, в отдельном Ingress-контроллере (параметр acceptRequestsFrom).

• If a non-public CA is used:

• Если используется непубличный CA:

1. Get the CA certificate from the Secret with the certificate that is used for the api.%s domain:

1. Получите сертификат CA из секрета с сертификатом, который используется для домена api.%s:

shell kubectl -n d8-user-authn get secrets -o json
$(kubectl -n d8-user-authn get ing kubernetes-api -o jsonpath=”{.spec.tls[0].secretName}”)
| jq -rc ‘.data.”ca.crt” // .data.”tls.crt”’
| base64 -d > /tmp/ca.crt

shell kubectl -n d8-user-authn get secrets -o json
$(kubectl -n d8-user-authn get ing kubernetes-api -o jsonpath=”{.spec.tls[0].secretName}”)
| jq -rc ‘.data.”ca.crt” // .data.”tls.crt”’
| base64 -d > /tmp/ca.crt

1. Generate the cluster section (an external domain and a CA for access are used):

1. Сгенерируйте секцию cluster (используется внешний домен и CA для доступа):

shell kubectl config set-cluster $CLUSTER_NAME –embed-certs=true
–server=https://$(kubectl -n d8-user-authn get ing kubernetes-api -ojson | jq ‘.spec.rules[].host’ -r)
–certificate-authority=/tmp/ca.crt
–kubeconfig=$FILE_NAME

shell kubectl config set-cluster $CLUSTER_NAME –embed-certs=true
–server=https://$(kubectl -n d8-user-authn get ing kubernetes-api -ojson | jq ‘.spec.rules[].host’ -r)
–certificate-authority=/tmp/ca.crt
–kubeconfig=$FILE_NAME

• If a public CA is used. Generate the cluster section (an external domain is used for access):

• Если используется публичный CA. Сгенерируйте секцию cluster (используется внешний домен для доступа):

shell kubectl config set-cluster $CLUSTER_NAME
–server=https://$(kubectl -n d8-user-authn get ing kubernetes-api -ojson | jq ‘.spec.rules[].host’ -r)
–kubeconfig=$FILE_NAME

shell kubectl config set-cluster $CLUSTER_NAME
–server=https://$(kubectl -n d8-user-authn get ing kubernetes-api -ojson | jq ‘.spec.rules[].host’ -r)
–kubeconfig=$FILE_NAME

1. Generate the user section using the token from the Secret’s ServiceAccount in the kubectl configuration file:

1. Сгенерируйте секцию user с токеном из секрета ServiceAccount в файле конфигурации kubectl:

shell kubectl config set-credentials $USER_NAME
–token=$(kubectl -n d8-service-accounts get secret gitlab-runner-deploy-token -o json |jq -r ‘.data[“token”]’ | base64 -d)
–kubeconfig=$FILE_NAME

shell kubectl config set-credentials $USER_NAME
–token=$(kubectl -n d8-service-accounts get secret gitlab-runner-deploy-token -o json |jq -r ‘.data[“token”]’ | base64 -d)
–kubeconfig=$FILE_NAME

1. Generate the context in the kubectl configuration file:

1. Сгенерируйте контекст в файле конфигурации kubectl:

shell kubectl config set-context $CONTEXT_NAME
–cluster=$CLUSTER_NAME –user=$USER_NAME
–kubeconfig=$FILE_NAME

shell kubectl config set-context $CONTEXT_NAME
–cluster=$CLUSTER_NAME –user=$USER_NAME
–kubeconfig=$FILE_NAME

1. Set the generated context as the default one in the kubectl configuration file:

1. Установите сгенерированный контекст как используемый по умолчанию в файле конфигурации kubectl:

shell kubectl config use-context $CONTEXT_NAME –kubeconfig=$FILE_NAME

shell kubectl config use-context $CONTEXT_NAME –kubeconfig=$FILE_NAME

How to create a user using a client certificate

Создание пользователя с помощью клиентского сертификата

Creating a user

Создание пользователя

• Get the cluster’s root certificate (ca.crt and ca.key).
• Generate the user key:

• Получите корневой сертификат кластера (ca.crt и ca.key).
• Сгенерируйте ключ пользователя:

shell openssl genrsa -out myuser.key 2048

shell openssl genrsa -out myuser.key 2048

• Create a CSR file and specify in it the username (myuser) and groups to which this user belongs (mygroup1 & mygroup2):

• Создайте CSR, где укажите, что требуется пользователь myuser, который состоит в группах mygroup1 и mygroup2:

shell openssl req -new -key myuser.key -out myuser.csr -subj “/CN=myuser/O=mygroup1/O=mygroup2”

shell openssl req -new -key myuser.key -out myuser.csr -subj “/CN=myuser/O=mygroup1/O=mygroup2”

• Sign the CSR using the cluster root certificate:

• Подпишите CSR корневым сертификатом кластера:

shell openssl x509 -req -in myuser.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out myuser.crt -days 10

shell openssl x509 -req -in myuser.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out myuser.crt -days 10

• Now you can use the certificate issued in the config file:

• Теперь полученный сертификат можно указывать в конфиг-файле:

shell cat « EOF apiVersion: v1 clusters:

• cluster: certificate-authority-data: $(cat ca.crt | base64 -w0) server: https://:6443 name: kubernetes contexts:
• context: cluster: kubernetes user: myuser name: myuser@kubernetes current-context: myuser@kubernetes kind: Config preferences: {} users:
• name: myuser user: client-certificate-data: $(cat myuser.crt | base64 -w0) client-key-data: $(cat myuser.key | base64 -w0) EOF

shell cat « EOF apiVersion: v1 clusters:

• cluster: certificate-authority-data: $(cat ca.crt | base64 -w0) server: https://<хост кластера="">:6443 name: kubernetes contexts:
• context: cluster: kubernetes user: myuser name: myuser@kubernetes current-context: myuser@kubernetes kind: Config preferences: {} users:
• name: myuser user: client-certificate-data: $(cat myuser.crt | base64 -w0) client-key-data: $(cat myuser.key | base64 -w0) EOF

Granting access to the created user

Предоставление доступа созданному пользователю

To grant access to the created user, create a `ClusterAuthorizationRule’.

Для предоставления доступа созданному пользователю создайте ClusterAuthorizationRule.

Example of a ClusterAuthorizationRule:

Пример ClusterAuthorizationRule:

yaml apiVersion: deckhouse.io/v1 kind: ClusterAuthorizationRule metadata: name: myuser spec: subjects:

• kind: User name: myuser accessLevel: PrivilegedUser portForwarding: true

yaml apiVersion: deckhouse.io/v1 kind: ClusterAuthorizationRule metadata: name: myuser spec: subjects:

• kind: User name: myuser accessLevel: PrivilegedUser portForwarding: true

Configuring kube-apiserver for multi-tenancy mode

Настройка kube-apiserver для работы в режиме multi-tenancy

The multi-tenancy mode, which allows you to restrict access to namespaces, is enabled by the enableMultiTenancy module’s parameter.

Режим multi-tenancy, позволяющий ограничивать доступ к пространству имён, включается параметром enableMultiTenancy модуля.

Working in multi-tenancy mode requires enabling the Webhook authorization plugin and configuring a kube-apiserver. All actions necessary for the multi-tenancy mode are performed automatically by the control-plane-manager module; no additional steps are required.

Работа в режиме multi-tenancy требует включения плагина авторизации Webhook и выполнения настройки kube-apiserver. Все необходимые для работы режима multi-tenancy действия выполняются автоматически модулем control-plane-manager, никаких ручных действий не требуется.

Changes to the kube-apiserver manifest that will occur after enabling multi-tenancy mode:

Изменения манифеста kube-apiserver, которые произойдут после включения режима multi-tenancy:

• The --authorization-mode argument will be modified: the Webhook method will be added in front of the RBAC method (e.g., --authorization-mode=Node,Webhook,RBAC);
• The --authorization-webhook-config-file=/etc/kubernetes/authorization-webhook-config.yaml will be added;
• The volumeMounts parameter will be added:

• исправление аргумента --authorization-mode. Перед методом RBAC добавится метод Webhook (например, --authorization-mode=Node,Webhook,RBAC);
• добавление аргумента --authorization-webhook-config-file=/etc/kubernetes/authorization-webhook-config.yaml;
• добавление volumeMounts:

yaml

• name: authorization-webhook-config mountPath: /etc/kubernetes/authorization-webhook-config.yaml readOnly: true

yaml

• name: authorization-webhook-config mountPath: /etc/kubernetes/authorization-webhook-config.yaml readOnly: true

• The volumes parameter will be added:

• добавление volumes:

yaml

• name: authorization-webhook-config hostPath: path: /etc/kubernetes/authorization-webhook-config.yaml type: FileOrCreate

yaml

• name: authorization-webhook-config hostPath: path: /etc/kubernetes/authorization-webhook-config.yaml type: FileOrCreate

How do I check that a user has access?

Как проверить, что у пользователя есть доступ?

Execute the command below with the following parameters:

Необходимо выполнить следующую команду, в которой будут указаны:

• resourceAttributes (the same as in RBAC) - target resources;
• user - the name of the user;
• groups - user groups;

• resourceAttributes (как в RBAC) — к чему мы проверяем доступ;
• user — имя пользователя;
• groups — группы пользователя.

You can use Dex logs to find out groups and a username if this module is used together with the user-authn module (kubectl -n d8-user-authn logs -l app=dex); logs available only if the user is authorized).

При совместном использовании с модулем user-authn группы и имя пользователя можно посмотреть в логах Dex — kubectl -n d8-user-authn logs -l app=dex (видны только при авторизации).

shell cat «EOF | 2>&1 kubectl create –raw /apis/authorization.k8s.io/v1/subjectaccessreviews -f - | jq .status { “apiVersion”: “authorization.k8s.io/v1”, “kind”: “SubjectAccessReview”, “spec”: { “resourceAttributes”: { “namespace”: “”, “verb”: “watch”, “version”: “v1”, “resource”: “pods” }, “user”: “system:kube-controller-manager”, “groups”: [ “Admins” ] } } EOF

shell cat «EOF | 2>&1 kubectl create –raw /apis/authorization.k8s.io/v1/subjectaccessreviews -f - | jq .status { “apiVersion”: “authorization.k8s.io/v1”, “kind”: “SubjectAccessReview”, “spec”: { “resourceAttributes”: { “namespace”: “”, “verb”: “watch”, “version”: “v1”, “resource”: “pods” }, “user”: “system:kube-controller-manager”, “groups”: [ “Admins” ] } } EOF

You will see if access is allowed and what role is used:

В результате увидим, есть ли доступ и на основании какой роли:

json { “allowed”: true, “reason”: “RBAC: allowed by ClusterRoleBinding "system:kube-controller-manager" of ClusterRole "system:kube-controller-manager" to User "system:kube-controller-manager"” }

json { “allowed”: true, “reason”: “RBAC: allowed by ClusterRoleBinding "system:kube-controller-manager" of ClusterRole "system:kube-controller-manager" to User "system:kube-controller-manager"” }

If the multitenancy mode is enabled in your cluster, you need to perform another check to be sure that the user has access to the namespace:

Если в кластере включён режим multi-tenancy, нужно выполнить ещё одну проверку, чтобы убедиться, что у пользователя есть доступ в пространство имён:

shell cat «EOF | 2>&1 kubectl –kubeconfig /etc/kubernetes/deckhouse/extra-files/webhook-config.yaml create –raw / -f - | jq .status { “apiVersion”: “authorization.k8s.io/v1”, “kind”: “SubjectAccessReview”, “spec”: { “resourceAttributes”: { “namespace”: “”, “verb”: “watch”, “version”: “v1”, “resource”: “pods” }, “user”: “system:kube-controller-manager”, “groups”: [ “Admins” ] } } EOF

shell cat «EOF | 2>&1 kubectl –kubeconfig /etc/kubernetes/deckhouse/extra-files/webhook-config.yaml create –raw / -f - | jq .status { “apiVersion”: “authorization.k8s.io/v1”, “kind”: “SubjectAccessReview”, “spec”: { “resourceAttributes”: { “namespace”: “”, “verb”: “watch”, “version”: “v1”, “resource”: “pods” }, “user”: “system:kube-controller-manager”, “groups”: [ “Admins” ] } } EOF

json { “allowed”: false }

json { “allowed”: false }

The allowed: false message means that the webhook doesn’t block access. In case of webhook denying the request, you will see, e.g., the following message:

Сообщение allowed: false значит, что вебхук не блокирует запрос. В случае блокировки запроса вебхуком вы получите, например, следующее сообщение:

json { “allowed”: false, “denied”: true, “reason”: “making cluster scoped requests for namespaced resources are not allowed” }

json { “allowed”: false, “denied”: true, “reason”: “making cluster scoped requests for namespaced resources are not allowed” }

Customizing rights of high-level roles

Настройка прав высокоуровневых ролей

If you want to grant more privileges to a specific high-level role, you only need to create a ClusterRole with the user-authz.deckhouse.io/access-level: <AccessLevel> annotation.

Если требуется добавить прав для определённой высокоуровневой роли, достаточно создать ClusterRole с аннотацией user-authz.deckhouse.io/access-level: <AccessLevel>.

An example:

Пример:

yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: annotations: user-authz.deckhouse.io/access-level: Editor name: user-editor rules:

• apiGroups:
• kuma.io resources:
• trafficroutes
• trafficroutes/finalizers verbs:
• get
• list
• watch
• create
• update
• patch
• delete
• apiGroups:
• flagger.app resources:
• canaries
• canaries/status
• metrictemplates
• metrictemplates/status
• alertproviders
• alertproviders/status verbs:
• get
• list
• watch
• create
• update
• patch
• delete

yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: annotations: user-authz.deckhouse.io/access-level: Editor name: user-editor rules:

• apiGroups:
• kuma.io resources:
• trafficroutes
• trafficroutes/finalizers verbs:
• get
• list
• watch
• create
• update
• patch
• delete
• apiGroups:
• flagger.app resources:
• canaries
• canaries/status
• metrictemplates
• metrictemplates/status
• alertproviders
• alertproviders/status verbs:
• get
• list
• watch
• create
• update
• patch
• delete