生产环境,有时候开发需要权限去看k8s某个namespace下的pod的运行状态,或者其它的运行信息(ELK或其它组件并不能完全覆盖这种场景,或者特地引入kubesphere这套组件也太重了),这种情况我们要如何高效解决?
我们这种情况下,可以结合jumpserver的账号来做。具体点就是:
1、在k8s上namespace创建不同的rbac(只开放出list watch这类的只读权限),并把配置文件捞出来
2、在jumpserver上单独开一个ecs,安装kubectl,并创建多个账号,对应k8s的不同namespace
3、在ecs上,切到不同的账号下,将step1的配置文件写到到对应的kubectl的配置里
4、研发可以自助在jumpserver上申请权限(申请主机权限--->申请某个用户权限),这样既可达成我们的目标。
jumpserver的配置比较简单,这里就跳过了。
主要是k8s上的只读账号的rbac的yaml文件贴一下。
3个yaml的内容如下:
readonly的账号配置文件具体如下:
# cat 1-readonly.serviceaccount-ns1.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
creationTimestamp: null
name: readonly
namespace: ns1
# cat 2-readonly.clusterrole-ns1.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
annotations:
name: cluster-readonly
rules:
- apiGroups:
- '*'
resources:
- pods
- pods/log
- events
- deployments
- replicasets
verbs:
- get
- watch
- describe
- logs
- list
# cat 3-readonly.rolebinding-ns1.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: readonly@ns1
namespace: ns1
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-readonly
subjects:
- kind: ServiceAccount
name: readonly
namespace: ns1
此外,我们还可以把这台kubectl的机器的堡垒机日志展示到grafana上,如下图:
对应的sql如下:
select
user as 用户名,
system_user as 系统账号,
input as 输入命令,
output as 返回结果,
DATE_ADD(from_unixtime(timestamp), INTERVAL -8 hour) as 执行时间
from terminal_command
where asset LIKE '%kubectl%'
order by timestamp desc
limit 500
