mirror of
https://github.com/slurm-personal/school-dev-k8s.git
synced 2026-06-27 13:50:24 +00:00
Marsel IbraevRBAC
- Исправляем манифесты
Исправляем название namespace в rolebinding
cd ~/slurm/practice/9.cluster-authorization/1.rbac
vim rolebinding.yaml
- Создаем объекты
cd ~/slurm/practice/9.cluster-authorization/1.rbac
kubectl apply -f .
Видим:
configmap/my-configmap-env created
rolebinding.rbac.authorization.k8s.io/user created
secret/my-secret created
serviceaccount/user created
- Пробуем получить список configmap под юзером
kubectl get configmap --as=system:serviceaccount:s<номер студента>:user
Список возвращается:
NAME DATA AGE
my-configmap-env 2 4m44
- Пробуем получить список secret под юзером
kubectl get secret --as=system:serviceaccount:s<номер студента>:user
Выдается ошибка:
Error from server (Forbidden): secrets is forbidden: User "system:serviceaccount:s000001:user" cannot list resource "secrets" in API group "" in the namespace "s000001"
- Пробуем получить список сервисов под юзером в неймспейсе kube-system
kubectl get service --as=system:serviceaccount:s<номер студента>:user -n kube-system
Возвращается ошибка:
Error from server (Forbidden): services is forbidden: User "system:serviceaccount:s000001:user" cannot list resource "services" in API group "" in the namespace "kube-system"
- Теперь пробуем удалить конфигмап под юзером
kubectl delete configmap my-configmap-env --as=system:serviceaccount:s<номер студента>:user kubernetes
Видим что RBAC работает:
Error from server (Forbidden): configmaps "my-configmap-env" is forbidden: User "system:serviceaccount:s000001:user" cannot delete resource "configmaps" in API group "" in the namespace "s000001"
- Чистим за собой кластер
kubectl delete -f .