Azure Kubernetes - 命名空间隔离的 RBAC 角色

Azure Kubernetes - RBAC role for namespace isolation

我想知道是否可以在 Azure Kubernetes 服务上隔离命名空间。现在,如果我将 rbac 角色授予我的同事,他们可以看到所有名称空间,我想为部门分离名称空间,例如data 只能看到 data 命名空间,dev 只能看到 den 命名空间等。

可能吗?

谢谢

是的,您必须启用 AKS-managed Azure Active DirectoryRole-based access control (RBAC)Azure RBAC for Kubernetes Authorization。有 2 个选项:

az aks create \
  -g myResourceGroup \
  -n myManagedCluster \
  --enable-aad \
  --enable-azure-rbac

第一个选项:

---
apiVersion: v1
kind: Namespace
metadata:
  name: data
  labels:
    kubernetes.io/metadata.name: data
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: data-view-access
  namespace: data
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: view
subjects:
- kind: Group
  namespace: data
  name: <GROUP_OBJECT_ID>

第二个选项是使用 Azure 自定义角色,如 here 所述,以及来自用户 yk1 的示例:

az role assignment create \
  --role "Azure Kubernetes Service RBAC Reader" \
  --assignee <AAD-ENTITY-ID> \
  --scope $AKS_ID/namespaces/<namespace-name>

注意:所有用户必须是 Azure Kubernetes Service Cluster User Role 的成员才能执行 az aks get-credentials