生产环境,有时候开发需要权限去看k8s某个namespace下的pod的运行状态,或者其它的运行信息(ELK或其它组件并不能完全覆盖这种场景,或者特地引入kubesphere这套组件也太重了),这种情况我们要如何高效解决?
我们这种情况下,可以结合jumpserver的账号来做。具体点就是:
1、在k8s上namespace创建不同的rbac(只开放出list watch这类的只读权限),并把配置文件捞出来
2、在jumpserver上单独开一个ecs,安装kubectl,并创建多个账号,对应k8s的不同namespace
3、在ecs上,切到不同的账号下,将step1的配置文件写到到对应的kubectl的配置里
4、研发可以自助在jumpserver上申请权限(申请主机权限--->申请某个用户权限),这样既可达成我们的目标。
jumpserver的配置比较简单,这里就跳过了。
主要是k8s上的只读账号的rbac的yaml文件贴一下。
3个yaml的内容如下:
readonly的账号配置文件具体如下: # cat 1-readonly.serviceaccount-ns1.yaml apiVersion: v1 kind: ServiceAccount metadata: creationTimestamp: null name: readonly namespace: ns1 # cat 2-readonly.clusterrole-ns1.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: annotations: name: cluster-readonly rules: - apiGroups: - '*' resources: - pods - pods/log - events - deployments - replicasets verbs: - get - watch - describe - logs - list # cat 3-readonly.rolebinding-ns1.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: readonly@ns1 namespace: ns1 roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: cluster-readonly subjects: - kind: ServiceAccount name: readonly namespace: ns1
此外,我们还可以把这台kubectl的机器的堡垒机日志展示到grafana上,如下图:
对应的sql如下:
select user as 用户名, system_user as 系统账号, input as 输入命令, output as 返回结果, DATE_ADD(from_unixtime(timestamp), INTERVAL -8 hour) as 执行时间 from terminal_command where asset LIKE '%kubectl%' order by timestamp desc limit 500
