Модуль по умолчанию включен. Для выключения добавьте в ConfigMap deckhouse:

data:
  userAuthzEnabled: "false"

Внимание! Мы категорически не рекомендуем создавать Pod’ы и ReplicaSet’ы – эти объекты являются второстепенными и должны создаваться из других контроллеров. Доступ к созданию и изменению Pod’ов и ReplicaSet’ов полностью отсутствует.

Внимание! Режим multi-tenancy (авторизация по namespace) в данный момент реализован по временной схеме и не гарантирует безопасность! Если webhook, который реализовывает систему авторизации по какой-то причине упадёт, авторизация по namespace (опции allowAccessToSystemNamespaces и limitNamespaces в CR) перестанет работать и пользователи получат доступы во все namespace. После восстановления доступности webhook’а все вернется на свои места.

Параметры

  • controlPlaneConfigurator (объект)

    Настройки параметров для модуля автоматической настройки kube-apiserver control-plane-manager.

    По умолчанию: {}

    • enabled (булевый)

      Передавать ли в control-plane-manager параметры для настройки authz-webhook (см. параметры control-plane-manager’а).

      При выключении этого параметра, модуль control-plane-manager будет считать, что по умолчанию Webhook-авторизация выключена и, соответственно, если не будет дополнительных настроек, то control-plane-manager будет стремиться вычеркнуть упоминания Webhook-плагина из манифеста. Даже если вы настроите манифест вручную.

      По умолчанию: true

      Пример: true, false

  • enableMultiTenancy (булевый)

    Включить авторизацию по namespace.

    Так как данная опция реализована через плагин авторизации Webhook, то потребуется дополнительная настройка kube-apiserver. Для автоматизации этого процесса используйте модуль control-plane-manager.

    Доступно только в версии Enterprise Edition.

    По умолчанию: false

    Пример: true, false

Вся настройка прав доступа происходит с помощью Custom Resources.