如何在GKE kubernetes集群中调试ABAC到RBAC转换?
[英]How to debug ABAC to RBAC transition in a GKE kubernetes cluster?
问题描述
GKE日志RBAC权限事件在哪里?
在具有kubernetes版本v1.6的Google容器引擎(GKE)群集上,默认情况下启用RBAC授权。 显然,ABAC也可以作为后备授权启用,以便简化现有集群到新授权方案的转换。 这个想法是第一个RBAC尝试授权一个动作。 如果失败 ,应将其记录在某处 ,然后咨询ABAC以允许该操作。 这应该使群集管理员能够在最终关闭ABAC之前检查日志是否缺少RBAC权限。
我们有一些集群可以禁用GCP日志记录/监控,而是使用自己的ELK堆栈。 为了确保我已经使用GCP的云记录和监控创建了一个测试集群,但仍然可以在任何地方找到任何RBAC事件。 测试pod是一个prometheus服务器,可以发现并抓取其他pod和节点。
2 个解决方案
解决方案1
8 已采纳 2017-05-12 09:30:30
使这更全面。 从使用RBAC授权 :
当日志级别为2或更高(--v = 2)运行时,您可以在apiserver日志中看到RBAC拒绝(以RBAC DENY为前缀:)。
在GKE中,可以通过HTTP访问apiservers日志,如:
kubectl proxy &
curl -s http://localhost:8001/logs/kube-apiserver.log
解决方案2
3 2017-05-11 15:07:18
RBAC拒绝将记录到主apiserver日志中。
如何在使用Terraform启动GKE集群时引导RBAC权限
[英]How to bootstrap RBAC privileges when bringing up a GKE cluster with Terraform
如何调试或分析 Kubernetes RBAC 规则动词和 Api 组
[英]How to debug or analyze Kubernetes RBAC rule verbs and Api Groups
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.