特定のプロジェクトで「ビュー」ロールを持つユーザーがいます。オープンシフト元でポッド端末にアクセスする3.3
私はこのユーザーがGUIコンソールを介してプロジェクトPODの "ターミナル"オプションにアクセスできるようにしたいと思います(今度は、 "コンテナに接続できませんでした"というエラーメッセージが表示されます)。
このユーザーにどの役割を割り当てる必要がありますか?またはポッド/ execアクセスでカスタムロールを作成できますか?
は
クレイトンの答えが正しいか、カスタムの役割を作成することができますが、あなたはexecは、適切なパワーのレベルとどのようにエスカレーションベクトルを制御することになるかどうかを慎重に検討すべきであるありがとう。
ビューアを使用して権限を付与すると、そのユーザーは突然エディタと同等の権限を持ちます。彼はあなたのサービスを提供しているポッドの状態を変更する権限を持ち、自動マウントされたサービスアカウントトークンを見る権限を持っています。そのトークンを見ると、サービスアカウント(デフォルトではイメージプーラー)の権限が与えられますが、ジェンキンのような統合によってサービスアカウントに編集権限が割り当てられます。
カスタムロールを作成する必要があります。また、端末アクセスもゲートされているので、作成権限を持たないセキュリティ設定(hostPathアクセス、root権限での実行、特権権限としての実行など)を持つコンテナにはexecできません。したがって、クラスタ管理者権限を持っていない限り、今日ビルドコンテナにexecすることはできません。 – Clayton
OKクレイトン、本当にありがとう –