为什么我不能删除我对 kubeadm 的权限?
Why can I not remove my permissions on kubeadm?
我使用所有默认设置(除了将 kubernetes 版本更改为 1.13.4 之外)创建了一个一主一工 kubeadm 集群。特别是,仅启用了 Node 和 RBAC 授权,并且我使用默认管理员凭据访问集群,该集群将我验证为用户 kubernetes-admin 和组 system:masters(绑定到 cluster-admin clusterrole)客户端证书。
然后我删除了 cluster-admin clusterrole,但我仍然拥有完整的访问权限,包括列表 pods。为什么是这样?我注意到 cluster-admin clusterrole 确实会在一段时间后恢复,但在此期间我希望我的权限不存在。
kubeadm 版本:
kubeadm version: &version.Info{Major:"1", Minor:"13", GitVersion:"v1.13.4", GitCommit:"c27b913fddd1a6c480c229191a087698aa92f0b1", GitTreeState:"clean", BuildDate:"2019-02-28T13:35:32Z", GoVersion:"go1.11.5", Compiler:"gc", Platform:"linux/amd64"}
kubernetes 版本:1.13.4
system:masters 组(在我的客户端证书上设置为组织)可以绕过 RBAC 检查:https://github.com/kubernetes/kubernetes/blob/master/pkg/registry/rbac/escalation_check.go#L38-L44
我使用所有默认设置(除了将 kubernetes 版本更改为 1.13.4 之外)创建了一个一主一工 kubeadm 集群。特别是,仅启用了 Node 和 RBAC 授权,并且我使用默认管理员凭据访问集群,该集群将我验证为用户 kubernetes-admin 和组 system:masters(绑定到 cluster-admin clusterrole)客户端证书。
然后我删除了 cluster-admin clusterrole,但我仍然拥有完整的访问权限,包括列表 pods。为什么是这样?我注意到 cluster-admin clusterrole 确实会在一段时间后恢复,但在此期间我希望我的权限不存在。
kubeadm 版本:
kubeadm version: &version.Info{Major:"1", Minor:"13", GitVersion:"v1.13.4", GitCommit:"c27b913fddd1a6c480c229191a087698aa92f0b1", GitTreeState:"clean", BuildDate:"2019-02-28T13:35:32Z", GoVersion:"go1.11.5", Compiler:"gc", Platform:"linux/amd64"}
kubernetes 版本:1.13.4
system:masters 组(在我的客户端证书上设置为组织)可以绕过 RBAC 检查:https://github.com/kubernetes/kubernetes/blob/master/pkg/registry/rbac/escalation_check.go#L38-L44