kubernetesグループの定義。作成と詳細

Question

kubernetesでグループを作成するにはどうすればよいですか？ kubernetesで作成されるデフォルトのグループは何ですか？私kubernetesインストールで

、これはClusterRoleBindingの対象区間である：

subjects: 
- apiGroup: rbac.authorization.k8s.io 
    kind: Group 
    name: default 
- apiGroup: rbac.authorization.k8s.io 
    kind: Group 
    name: system:serviceaccounts:default 
- kind: ServiceAccount 
    name: default 
    namespace: kube-system 
- apiGroup: rbac.authorization.k8s.io 
    kind: Group 
    name: system:nodes 
- apiGroup: rbac.authorization.k8s.io 
    kind: Group 
    name: federation-system 
- apiGroup: rbac.authorization.k8s.io 
    kind: Group 
    name: system:serviceaccounts:federation-system 

は、どのように私は例えばグループ「デフォルト」のコンポーネントを参照することができます。 kubectlはxxxを得る？ 自分のグループを作成するにはどうしたらいいですか？

RBACまたは認可についてではなく、グループ特有のドキュメントへのポインタです（私はいつもそのk8sドキュメントにあり、グループについては説明しません）。

ありがとうございます。

Answer 1

あなたはKubernetesでグループを作成しませんが、グループはIDプロバイダーで定義されています。

たとえば、OpenstackのKeystoneをIDプロバイダとして使用します。私はベアラトークンを使用してログインし、Kubernetesはキーストーンに接続するトークンを検証します。これはOpenstackのユーザー名とプロジェクトUUIDで応答します。プロジェクトUUIDはKubernetesのグループです。

私は次のように記述することができます

--- 
kind: RoleBinding 
apiVersion: rbac.authorization.k8s.io/v1 
metadata: 
    name: read-pods 
    namespace: default 
subjects: 
- kind: Group 
    name: <openstack_project_uuid> 
    apiGroup: rbac.authorization.k8s.io 
roleRef: 
    kind: Role 
    name: pod-reader 
    apiGroup: rbac.authorization.k8s.io 

または私はユーザー

--- 
kind: RoleBinding 
apiVersion: rbac.authorization.k8s.io/v1 
metadata: 
    name: read-pods 
    namespace: default 
subjects: 
- kind: User 
    name: <openstack_user_name> 
    apiGroup: rbac.authorization.k8s.io 
roleRef: 
    kind: Role 
    name: pod-reader 
    apiGroup: rbac.authorization.k8s.io 

を使用したい場合は、おそらく誰かがLDAPの例と同様の答えを投稿します。私はいつもOpenstack Keystoneだけを使いました。しかし私はあなたの質問に答えることを願っています。