Модуль по умолчанию включен. Для выключения добавьте в ConfigMap deckhouse:

data:
  userAuthzEnabled: "false"

Внимание! Мы категорически не рекомендуем создавать Pod’ы и ReplicaSet’ы – эти объекты являются второстепенными и должны создаваться из других контроллеров. Доступ к созданию и изменению Pod’ов и ReplicaSet’ов полностью отсутствует.

Внимание! Режим multi-tenancy (авторизация по namespace) в данный момент реализован по временной схеме и не гарантирует безопасность! Если webhook, который реализовывает систему авторизации по какой-то причине упадёт, авторизация по namespace (опции allowAccessToSystemNamespaces и limitNamespaces в CR) перестанет работать и пользователи получат доступы во все namespace. После восстановления доступности webhook’а все вернется на свои места.

Параметры

  • controlPlaneConfiguratorобъект

    Настройки параметров для модуля автоматической настройки kube-apiserver control-plane-manager.

    • enabledбулевый

      Передавать ли в control-plane-manager параметры для настройки authz-webhook (см. параметры control-plane-manager’а).

      При выключении этого параметра, модуль control-plane-manager будет считать, что по умолчанию Webhook-авторизация выключена и, соответственно, если не будет дополнительных настроек, то control-plane-manager будет стремиться вычеркнуть упоминания Webhook-плагина из манифеста. Даже если вы настроите манифест вручную.

      По умолчанию: true

      Примеры:

      enabled: true
      
      enabled: false
      
  • enableMultiTenancyбулевый

    Включить авторизацию по namespace (режим — multi-tenancy).

    Все настройки kube-apiserver, необходимые для работы авторизации по namespace, выполняются автоматически модулем control-plane-manager (подробнее).

    Доступно только в версии Enterprise Edition.

    По умолчанию: false

    Примеры:

    enableMultiTenancy: true
    
    enableMultiTenancy: false
    

Вся настройка прав доступа происходит с помощью Custom Resources.