我使用启用了令牌身份验证的kubespray设置kubernetes集群 . 根据文档(https://kubernetes.io/docs/admin/authentication/#static-token-file),我可以在令牌文件中指定组:
token,user,uid,"group1,group2,group3"
但是当我尝试允许基于组访问群集时,它无法正常工作 .
用户在令牌文件中:
my32charsLenghtToken,user1,user1,"admins"
和RBAC yaml:
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: admin-access
subjects:
- kind: Group
name: admins
roleRef:
kind: ClusterRole
name: cluster-admin
apiGroup: "rbac.authorization.k8s.io"
当我替换种类Group-> User并命名admins-> user1时,问题可以解决 .
哪里错了?我认为Kubernetes中的访问模型以这种方式构建:(集群)角色 - >(集群)RoleBinding - >(组或用户)和用户到组绑定可以在令牌文件或证书中指定,如/ CN = user1 / O = 1组