容器服务ACK的RBAC访问权限说明

RBAC(Role-Based Access Control)是基于角色的访问控制。在通过操作系统控制台对集群进行管理时,如果选择基于灰度部署的ACK节点标签来安装组件,则需要以只读方式授权组件获取ACK集群节点的灰度标签。

ACKRBAC访问权限

授权组件获取集群的标签信息以实现基于灰度部署的ACK节点标签功能。权限列表及其使用范围说明如下。

说明

除集群标签外,组件系统不会获取您的业务数据。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: sysom-aliyunserviceroleforsysom-clusterrole
rules:
  - apiGroups:
      - ''
    resources:
      - pods
      - nodes
      - services
    verbs:
      - get
      - list
      - watch

关闭组件访问集群的权限

如果您不再需要通过灰度部署的ACK节点标签来安装组件,您可以通过以下步骤关闭组件对集群的访问权限。

  1. 登录容器服务ACK控制台

  2. 在左侧导航栏选择集群列表,单击目标集群名称

  3. 在左侧导航栏选择安全管理 > 角色 > Cluster Role

  4. 在搜索框中搜索sysom-aliyunserviceroleforsysom-clusterrole

  5. 单击操作列的YAML 编辑,增加annotation配置inner.service.alibabacloud.com/user-customized: 'true' ,同时删除rules字段下所有权限,如下所示。

    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRole
    metadata:
      annotations:
        inner.service.alibabacloud.com/user-customized: 'true' # 标记为用户自定义
      name: sysom-aliyunserviceroleforsysom-clusterrole
    rules: null