Можно ли включить режим ABAC (авторизация) в Google Container Engine?

Question

Я бы хотел включить ABAC mode для кластера Kubernetes, который я использую в Контейнерном двигателе Google. (более конкретно, я хотел бы ограничить доступ к службе API для учетной записи службы по умолчанию, которая автоматически назначается всем контейнерам). Однако, поскольку --authorization-mode=ABAC является аргументом командной строки для kube-apiserver, и поскольку сервер API управляется в Google Container Engine, я не нашел способ включить авторизацию для моего кластера.

Есть ли способ включить режим ABAC на GCE?

В настоящее время я использую Kubernetes v1.1.7 на сервере и узлах.

Answer 1

Невозможно включить режим ABAC в Google Container Engine. Если вам нужен мелкомасштабный контроль над параметрами, переданными на любой из основных компонентов, вам нужно вместо этого запустить Kubernetes на GCE.

Answer 2

В то же время Google добавила возможность использования контроля доступа на основе ролей (RBAC) для кластера Kubernetes. Он включен по умолчанию для всех новых кластеров, работающих под управлением Kubernetes 1.6 или новее: https://cloud.google.com/container-engine/docs/role-based-access-control