Kubernetes权限要求

术语解释

• 全部权限 - 至少包含以下 RBAC verbs：

• get

• list

• watch

• create

• update

• patch

• delete

• 读权限 - 至少包含以下 RBAC verbs:

• get

• list

• watch

最小权限

在不使用分批发布的情况下，至少要具备以下权限：

• Namespace 读权限，用于实时联通性校验等场景；

• ControllerRevision (apps/v1/ControllerRevision) 全部权限，部署 Kubernetes 对象时将借助 ControllerRevision 建立不可变快照元数据；

• 待部署的 Kubernetes 对象全部权限。

分批发布增强所需权限

分批发布借助 Rollout CRD 及其控制器体系实现。在最小权限的基础上，需要提供安装分批发布体系所需的权限，以及实施分批发布时所需的对象访问权限。

实施分批发布时所需的权限

• Rollout （standard.oam.dev/v1alpha1）全部权限；

• 待部署的工作负载对象全部权限。

安装分批发布增强体系所需的权限

• CRD （apiextensions.k8s.io/v1/CustomResourceDefinition）全部权限，用于安装 Rollout CRD；

• 以下的对象用于维持 Rollout 控制器的运行，执行安装时需要全部权限：

• ServiceAccount （core/v1/ServiceAccount）；

• ClusterRole （rbac.authorization.k8s.io/v1/ClusterRole）；

• ClusterRoleBinding （rbac.authorization.k8s.io/v1/ClusterRoleBinding）；

• Role （rbac.authorization.k8s.io/v1/Role）；

• RoleBinding （rbac.authorization.k8s.io/v1/RoleBinding）；

• Deployment （apps/v1/Deployment）；

• 以下的对象被 Rollout 控制器的安装后 E2E 测试使用，执行安装时需要全部权限：

• Pod （core/v1/Pod）.

备注

CICD 系统通常需要具备变更各类业务系统及其支撑组件的能力，只推荐对 Kubernetes RBAC 及其治理实践掌握程度较高的用户进行 RBAC 细化配置。通常情况下，使用管理员级别的证书并通过 AppStack 资源权限控制其传播范围，是更易上手的方式。