Как ограничить пользователей Kubernetes Dashboard от просмотра секретов?

Question

Как ограничить пользователей Kubernetes Dashboard от просмотра секретов?

Панель инструментов Kubernetes позволяет пользователям просматривать все секреты, включая их исходные значения, всего за пару кликов. Эти секреты, вероятно, будут содержать очень конфиденциальные данные, такие как пароли производственной базы данных и закрытые ключи.

Как вы ограничиваете пользователей Dashboard, чтобы они не могли видеть конфиденциальные данные?

4

kubernetes kops

Источник

user1930325 10 фев '17 в 23:23

1 ответ

Другие вопросы по тегам kubernetes kops

user1347604 27 июн '17 в 21:44 2017-06-27 21:44 · Answer 1 · 2017-06-27 21:44

Это известная проблема, и на данный момент она просто официально не поддерживается - Dashboard - инструмент администрирования на уровне суперпользователя. Это не должно иметь место навсегда, но требуется больше помощи, чтобы получить его там.

В этой теме обсуждаются некоторые обходные пути, которые работают в настоящее время. Вот некоторые примечательные причуды вокруг них, о которых нужно знать заранее:

Должна ли панель мониторинга находиться под пользователем панели мониторинга и ограничена этим? Если так, то, как предложила Анируд, вы можете нейтрализовать части панели инструментов, и она будет работать нормально и получит 403, если они получат доступ к панели секретов.
Должна ли панель мониторинга находиться под зарегистрированным пользователем и быть ограничена тем, что может видеть этот пользователь? Это означает, что kubectl proxy будет необходимо без какого-либо подключаемого модуля браузера или прокси-сервера MITM, чтобы присоединить необходимую аутентификацию к вызовам сервера панели мониторинга, но это возможно.