Zugriff auf das Pod-Terminal im Openshift-Ursprung gewähren 3.3

Ich habe einen Benutzer mit der Rolle "view" in einem bestimmten Projekt.Zugriff auf das Pod-Terminal im Openshift-Ursprung gewähren 3.3

Ich möchte, dass dieser Benutzer auf "Terminal" -Option auf Projekt PODs über die GUI-Konsole zugreifen kann (jetzt bekomme ich die Fehlermeldung "Konnte keine Verbindung zum Container herstellen. Haben Sie ausreichende Berechtigungen?").

Welche Rolle soll ich diesem Benutzer zuweisen? oder kann ich eine benutzerdefinierte Rolle mit pods/exec access erstellen?

Danke

Quelle

2016-12-09 Álvaro Pérez Soria

Sie müssten eine benutzerdefinierte Rolle erstellen. Beachten Sie auch, dass der Terminalzugriff ebenfalls gated ist, so dass Sie nicht in einen Container mit Sicherheitseinstellungen ausführen können, die Sie nicht erstellen können - Dinge wie hostPath access, die als root laufen und als privilegiert ausgeführt werden. Sie können also heute nicht in einen Build-Container wechseln, es sei denn, Sie verfügen über Cluster-Administratorrechte. – Clayton

OK Clayton, vielen Dank für die Antwort –

Claytons Antwort ist richtig, Sie eine benutzerdefinierte Rolle erstellen können, aber Sie sollten sorgfältig darüber nachdenken, ob exec ein angemessenes Niveau der Macht ist und wie Sie die Eskalation Vektoren steuern würde.

Wenn Sie einen Viewer nehmen und hinzufügen gewähren ihnen exec Berechtigungen, wird dieser Benutzer plötzlich das grobe Äquivalent von Editor. Er hat die Befugnis, den Status des Pods zu ändern, der Ihrem Dienst dient, und er hat die Berechtigung, das automatisch installierte Serviceaccount-Token anzuzeigen. Wenn man sieht, dass dieses Token ihm die Macht eines Dienstkontos gibt (standardmäßig nur ein Image-Puller), weisen Integrationen wie jenkins Editierberechtigungen für Dienstkonten zu.

Quelle

2016-12-12 12:54:23

Zugriff auf das Pod-Terminal im Openshift-Ursprung gewähren 3.3

Antwort

Verwandte Themen