Как я могу создать дополнительного пользователя в Kubernetes, чтобы он / она мог получить доступ к кластеру Kubernetes как из веб-интерфейса, так и из интерфейса командной строки (kubectl) и разрешить этому пользователю управлять определенным пространством имен?
Kubernetes изначально предоставляет два метода авторизации, которые могут использоваться для пользователей, которые могут получить доступ только к определенным пространствам имен.
Контроль доступа на основе атрибутов (ABAC) - это статический файл, в котором перечислены права пользователей, однако у него есть некоторые недостатки, например, требование перезапуска сервера API при изменении прав пользователя.
Контроль доступа на основе ролей вероятно, ваш лучший вариант для этого. Его немного сложно настроить, но вы можете использовать его, чтобы ограничить права пользователей определенными пространствами имен.
Тем не менее, стоит отметить, что начиная с Kubernetes 1.6 разработчики не считают его готовым к мультитенантной работе, поскольку есть вероятные способы, которыми злоумышленник с доступом к одному пространству имен может получить доступ к другим пространствам имен.
Келси Хайтауэр дает хорошее объяснение этого в своем выступлении «Управление контейнерами и развертывание: от разработки до производства», он объясняет ограничение пользователя пространствами имен, когда говорит об «управлении средами разработки» на отметке 21 мин 56 сек. около отметки 21 мин 56 сек.
Основная идея заключается в том, что вам нужно использовать Квоты на ресурсы.