RBAC(Role-Based Access Control)是基于角色的访问控制。在通过操作系统控制台对集群进行管理时,如果选择基于灰度部署的ACK节点标签来安装组件,则需要以只读方式授权组件获取ACK集群节点的灰度标签。
ACK的RBAC访问权限
授权组件获取集群的标签信息以实现基于灰度部署的ACK节点标签功能。权限列表及其使用范围说明如下。
说明
除集群标签外,组件系统不会获取您的业务数据。
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: sysom-aliyunserviceroleforsysom-clusterrole
rules:
- apiGroups:
- ''
resources:
- pods
- nodes
- services
verbs:
- get
- list
- watch
关闭组件访问集群的权限
如果您不再需要通过灰度部署的ACK节点标签来安装组件,您可以通过以下步骤关闭组件对集群的访问权限。
登录容器服务ACK控制台。
在左侧导航栏选择集群列表,单击目标集群名称。
在左侧导航栏选择
。在搜索框中搜索
sysom-aliyunserviceroleforsysom-clusterrole
。单击操作列的YAML 编辑,增加
annotation
配置inner.service.alibabacloud.com/user-customized: 'true'
,同时删除rules
字段下所有权限,如下所示。apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: annotations: inner.service.alibabacloud.com/user-customized: 'true' # 标记为用户自定义 name: sysom-aliyunserviceroleforsysom-clusterrole rules: null
该文章对您有帮助吗?