wie um zu überprüfen, ob RBAC-aktiviert ist, kann mit kubectl

Ich versuche zu installieren Ruder-Paket auf einem kubernetes cluster, die angeblich hat RBAC deaktiviert.
Ich bin immer ein Fehler der Zugriffsrechte zu erwähnen clusterroles.rbac.authorization.k8s.io, das ist, was ich erwarten würde, wenn RBAC war aktiviert.

Gibt es eine Möglichkeit zu prüfen, mit kubectl ob RBAC wirklich deaktiviert ist?

Was ich versucht habe:

kubectl describe nodes --all-namespaces | grep -i rbac : nichts kommt
kubectl describe rbac --all-namespaces | grep -i rbac : nichts kommt
kubectl config get-contexts | grep -i rbac : nichts kommt
k get clusterroles es sagt "Kein Mittel gefunden", nicht eine Fehlermeldung. So bedeutet das, dass RBAC ist aktiviert?
kuebctl describe cluster ist nicht eine Sache

Ich bin mir bewusst, dass das vielleicht die x-y-problem, weil es möglich ist das Ruder Paket ich bin der Installation erwartet RBAC-aktiviert werden. Aber dennoch, ich würde gerne wissen, wie um zu prüfen, ob oder nicht es ist aktiviert/deaktiviert.

InformationsquelleAutor falsePockets | 2018-07-09

45

Sie können dies überprüfen, indem Sie den Befehl kubectl api-versions; wenn RBAC-aktiviert ist, sollten Sie finden Sie in der API-version .rbac.authorization.k8s.io/v1.

In der AKS, der beste Weg, um überprüfen Sie die cluster-Ressourcen-details an resources.azure.com.
Wenn Sie Sie vor Ort "enableRBAC": true, der cluster RBAC-aktiviert.
Bitte beachten Sie, dass die bestehenden nicht-RBAC-aktiviert AKS-Cluster können derzeit nicht aktualisiert werden, für RBAC verwenden. (danke @DennisAmeling für die Klarstellung)
- Für Azure (AKS) das ist ein bisschen komplizierter. Während die kubectl api-versions in der Tat gibt rbac.authorization.k8s.io/v1, die kubectl get clusterroles zurück nicht Standard system: Präfix Rollen. Der beste Weg, um zu überprüfen, für die AKS ist zu überprüfen Sie die cluster-Ressourcen-details, z.B. bei resources.azure.com. Wenn "enableRBAC": true, wird der cluster RBAC-aktiviert. Die bestehenden nicht-RBAC-aktiviert AKS Cluster können derzeit nicht aktualisiert werden für RBAC verwenden. Also, wenn Sie wollen, aktivieren RBAC auf AKS, müssen Sie einen neuen cluster erstellen.
- bitte betrachten Sie dies als eine unabhängige Antwort, keiner der anderen für mich gearbeitet, weil ich war auf Azure und der Unterschied in RBAC-Verhalten ist sehr unerwartet.
- fertig 🙂 stackoverflow.com/a/53977709/4337765
- Wie wäre kubectl api-versions | grep rbac?
InformationsquelleAutor danielepolencic
11

Ich wünschte, es gäbe einen besseren Weg, aber was ich benutze, ist:
```
$ kubectl cluster-info dump | grep authorization-mode
```
Wenn Sie ihn ausführen, sollten Sie entweder sehen RBAC dort aufgeführt ist oder nicht, und wenn Sie nicht die Berechtigungen haben, um es zu tun, gut, sind die Chancen, dass RBAC-aktiviert ist.
- Das habe ich versucht. dump funktioniert nicht für mich.
- Nach Herabstufung meine kubectl ich kann jetzt laufen cluster-info dump. Ich habe versucht, diese auf einem cluster, das hat definitiv RBAC-aktiviert, und es gab keinen Ausgang.
- Wenn der obige Befehl gibt keinen Wert zurück und keine Fehlermeldung, was bedeutet das?
- Lassen Sie das zweite Teil (das grep-Kommando) aus für jetzt, was siehst du?
- Das funktioniert nicht jetzt. Gehen Sie mit: stackoverflow.com/a/53188620/2884309
InformationsquelleAutor Michael Hausenblas
6

Für Azure (AKS) das ist ein bisschen komplizierter. Während die kubectl api-versions Befehl in der Tat gibt rbac.authorization.k8s.io/v1, die kubectl get clusterroles Befehl nicht wieder die Standard - system: Präfix Rollen.

Der beste Weg, um zu überprüfen, für die AKS ist zu überprüfen Sie die cluster-Ressourcen-details, z.B. an resources.azure.com. Wenn "enableRBAC": true, der cluster RBAC-aktiviert. Die bestehenden nicht-RBAC-aktiviert AKS-Cluster können derzeit nicht aktualisiert werden für RBAC verwenden. Also, wenn Sie wollen, aktivieren RBAC auf AKS, müssen Sie einen neuen cluster erstellen.

InformationsquelleAutor Dennis Ameling
4

Option #1:
Wenn Sie haben Zugang zu einem master-Knoten, dann einloggen und überprüfen Sie unten
```
ps -aef | grep -i apiserver
The options should have --authorization-mode=RBAC otherwise RBAC not enabled.
```
Option #2:
```
kubectl get clusterroles | grep -i rbac
```
Hoffe, das hilft

Rgds
Sudhakar
- Mit option 2, nur um zu klären: Wenn es gibt keine Ausgabe, dann RBAC deaktiviert ist? Ich erwarte, dass die cluster nicht zu wissen, was clusterroles sind, wenn RBAC ist deaktiviert. Aber ich bekomme "Kein Mittel gefunden" auf einem cluster, und auf einem anderen bekomme ich eine lange Liste von Rollen, einschließlich system:auth-delegator und system:controller:clusterrole-aggregation-controller, aber ohne etwas zu erwähnen rbac.
- Ich habe gerade gesponnen, bis ein cluster mit RBAC-aktiviert und die option 2 führt zu keiner Ausgabe.
- wenn die scond Befehl "kubectl bekommen clusterroles | grep-i rbac" gibt keinen Wert zurück und keine Fehlermeldung, was bedeutet das?
- wie @falsePockets auch ich bekommen keine Ausgabe aus der Methode #2 oben.
- was ist die Ausgabe von kubectl api-versions ? In meinem cluster mit dem RBAC-aktiviert die o/p enthält .rbac.authorization.k8s.io/v1
InformationsquelleAutor Sudhakar MNSR
1

ps -aef | grep -i apiserver ist der einfachste Weg, um das herauszufinden.
- Was ist, wenn ich keinen Zugriff auf die Knoten selbst?
InformationsquelleAutor vin84
1

Für Azure (AKS) ich denke, Azure CLI funktioniert gut.
```
az resource show -g <resource group name> -n <cluster name> --resource-type Microsoft.ContainerService/ManagedClusters --query properties.enableRBAC
```
Es ist im Grunde das gleiche wie mit resources.azure.com, aber ich finde, es schneller zu verwenden, die Azure-CLI
- Der use-case, den ich hatte war, dass Azure behauptet mein cluster hatte RBAC deaktiviert, aber es benahm sich genau, wie es wäre, wenn RBAC wurde aktiviert. Ich wollte überprüfen, ob Azure hatte einen bug. (AKS ist voll von viele schwere bugs, so ist es ein begründeter Verdacht.)
InformationsquelleAutor Olav Nybø

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.