在哪里可以获得Kubernetes API资源和子资源的列表?
我试图以最不允许的方式配置Kubernetes RBAC,我希望将我的角色范围限定到特定的资源和子资源。我翻遍了文档,找不到资源及其子资源的简明列表 我对管理部署规范一部分的子资源(容器映像)特别感兴趣。我甚至不愿意把它作为一个“答案”,但肯定太长了,无法发表评论 对于资源列表,您是否知道在哪里可以获得Kubernetes API资源和子资源的列表?,kubernetes,kubernetes-security,Kubernetes,Kubernetes Security,我试图以最不允许的方式配置Kubernetes RBAC,我希望将我的角色范围限定到特定的资源和子资源。我翻遍了文档,找不到资源及其子资源的简明列表 我对管理部署规范一部分的子资源(容器映像)特别感兴趣。我甚至不愿意把它作为一个“答案”,但肯定太长了,无法发表评论 对于资源列表,您是否知道$HOME/.kube/cache/discovery,其中,Swagger JSON文件通过与其封装的apiVersion相匹配的目录持久化到磁盘?我能找到的最快的链接(查看“发现和使用CRD”标题),但是l
$HOME/.kube/cache/discoveryapiVersionls-la~/.kube/cached/discoveryapiVersion/executionsPodSpec因此,如果您对使用RBAC来约束部署的映像感兴趣,您可能会更乐意将几乎无限的业务逻辑应用于尝试的请求。您可以从这里找到Kubernetes v1.9的资源列表:。对于其他K8s版本,请查看上的“API参考”部分 检查左侧的目录,例如,“Workloads”是基本资源类型(如容器、部署、CronJob等)的高级概述,这些子资源(如“容器、部署、CronJob”)是典型的基本Kubernetes API资源 您可以通过kubectl访问这些基本资源,因此在中也有可用的“资源类型”列表
但我在您的语句“管理部署规范的一部分的子资源--容器映像”中感到困惑,如果您试图管理容器映像的权限,那么应该在映像注册表上执行,而不是在Kubernetes端。例如,您的注册表应该有一个访问控制器,以便在用户提取图像时进行身份验证。静态列表中的任何位置都没有记录定义RBAC角色所需的资源、子资源和谓词。它们在discovery文档中提供,即通过API,例如
/API/apps/v1api_version resource: [verb]
api版本core”core pods/status:get patch updatecore pods/exec:
nodes/proxy: create delete get patch update
pods/attach: create get
pods/exec: create get
pods/portforward: create get
pods/proxy: create delete get patch update
services/proxy: create delete get patch update
警告2:有时Kubernetes会使用此处未列出的专用动词检查其他权限。例如,
rbac.authorization.k8s.iorolesclusterrolesbindkubectl api资源-o wide$ kubectl api-resources -o wide
NAME SHORTNAMES APIGROUP NAMESPACED KIND VERBS
bindings true Binding [create]
componentstatuses cs false ComponentStatus [get list]
configmaps cm true ConfigMap [create delete deletecollection get list patch update watch]
endpoints ep true Endpoints [create delete deletecollection get list patch update watch]
events ev true Event [create delete deletecollection get list patch update watch]
limitranges limits true LimitRange [create delete deletecollection get list patch update watch]
namespaces ns false Namespace [create delete get list patch update watch]
nodes no false Node [create delete deletecollection get list patch update watch]
persistentvolumeclaims pvc true PersistentVolumeClaim [create delete deletecollection get list patch update watch]
persistentvolumes pv false PersistentVolume [create delete deletecollection get list patch update watch]
pods po true Pod [create delete deletecollection get list patch update watch]
statefulsets sts apps true StatefulSet [create delete deletecollection get list patch update watch]
meshpolicies authentication.istio.io false MeshPolicy [delete deletecollection get list patch create update watch]
policies authentication.istio.io true Policy [delete deletecollection get list patch create update watch]
...
...
我想您可以使用它来创建RBAC配置中所需的资源列表如果您使用的是kubectl krew插件,我建议您使用。它可以获得几乎90%的资源。包括configmap、secret、端点、istio等
for kind in `kubectl api-resources | tail +2 | awk '{ print $1 }' | sort`; do kubectl explain $kind ; done | grep -e "KIND:" -e "VERSION:" | awk '{print $2}' | paste -sd' \n'
kubectl get-all --since 1d
我正是为了这个目的编写了一个微型围棋实用程序。使用集群上的每个可能资源和子资源生成完整的RBAC角色。然后,您可以将其修剪回适合您角色的用例
另一个选项是
OpenAPIk8s从中,您可以访问的,它在右上角有一个链接,您可以在中加载该链接。
类似于
/api/v1/namespaces/{namespace}/pods/{name}/log/latest在Bash中执行时,它会以a的形式生成更详细的输出,保存为文件
Kubernetes\u API\u resources.md它使用
kubectl get--raw…curlecho”#Kubernetes API资源
更新日期`日期-I`
\`\`\`猛击
${BASH_命令}
\`\`\`
|API名称/版本|资源|动词|种类|命名空间|
| ---------------- | -------- | ----- | ---- | ---------- |
`
对于$(kubectl api版本| sort | sed'/\/{H;1h;$!d;x}')中的apipath,请执行以下操作
版本=${a
for kind in `kubectl api-resources | tail +2 | awk '{ print $1 }' | sort`; do kubectl explain $kind ; done | grep -e "KIND:" -e "VERSION:" | awk '{print $2}' | paste -sd' \n'
kubectl get-all --since 1d