Autorizzazioni predefinite di Config Sync

Questa pagina elenca le autorizzazioni predefinite che Config Sync e i relativi componenti devono avere per accedere correttamente a livello di cluster.

Autorizzazioni predefinite

La tabella seguente elenca le autorizzazioni abilitate per impostazione predefinita da Config Sync. Non devi disattivare queste autorizzazioni mentre Config Sync è in uso.

Componente	Spazio dei nomi	Service account	Autorizzazioni	Descrizione
`reconciler-manager`	`config-management-system`	`reconciler-manager`	`cluster-admin`	Per eseguire il provisioning dei riconciliatori root e creare il ClusterRoleBinding per i riconciliatori root, `reconciler-manager` deve disporre dell'autorizzazione `cluster-admin`.
`root reconcilers`	`config-management-system`	Il nome del riconciliatore principale	`cluster-admin`	Per applicare risorse personalizzate e con ambito cluster, i riconciliatori root devono disporre dell'autorizzazione `cluster-admin`.
`namespace reconcilers`	`config-management-system`	Il nome del riconciliatore dello spazio dei nomi	`configsync.gke.io:ns-reconciler`	Per ottenere e aggiornare gli oggetti RepoSync e ResourceGroup e i relativi stati, i riconciliatori dello spazio dei nomi richiedono l'autorizzazione `configsync.gke.io:ns-reconciler`.
`resource-group-controller-manager`	`config-management-system`	`resource-group-sa`	`resource-group-manager-role` `resource-group-leader-election-role`	Per controllare lo stato dell'oggetto e abilitare la selezione del leader, il `resource-group-controller-manager` ha bisogno dei ruoli `resource-group-manager-role` e `resource-group-leader-election-role`.
`admission-webhook`	`config-management-system`	`admission-webhook`	`cluster-admin`	Per negare le richieste a qualsiasi oggetto nel cluster, l'admission webhook deve disporre delle autorizzazioni `cluster-admin`.
`importer`	`config-management-system`	`importer`	`cluster-admin`	Per impostare le autorizzazioni RBAC, `importer` deve disporre dell'autorizzazione cluster-admin.

Autorizzazioni specifiche di Config Sync

Le sezioni seguenti descrivono in dettaglio le autorizzazioni configsync.gke.io:ns-reconciler e resource-group-manager-role resource-group-leader-election-role elencate nella tabella precedente.

Config Sync applica automaticamente queste autorizzazioni includendo i seguenti ClusterRole nei manifest del riconciliatore dello spazio dei nomi e del controller del gruppo di risorse.

RBAC per i riconciliatori dello spazio dei nomi

Il seguente ClusterRole mostra le autorizzazioni di controllo dell'accesso basato sui ruoli per i riconciliatori dello spazio dei nomi:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: configsync.gke.io:ns-reconciler
  labels:
    configmanagement.gke.io/system: "true"
    configmanagement.gke.io/arch: "csmr"
rules:
- apiGroups: ["configsync.gke.io"]
  resources: ["reposyncs"]
  verbs: ["get"]
- apiGroups: ["configsync.gke.io"]
  resources: ["reposyncs/status"]
  verbs: ["get","list","update"]
- apiGroups: ["kpt.dev"]
  resources: ["resourcegroups"]
  verbs: ["*"]
- apiGroups: ["kpt.dev"]
  resources: ["resourcegroups/status"]
  verbs: ["*"]
- apiGroups:
  - policy
  resources:
  - podsecuritypolicies
  resourceNames:
  - acm-psp
  verbs:
  - use

RBAC per il controller del gruppo di risorse

Il seguente ClusterRole mostra le autorizzazioni di controllo dell'accesso basato sui ruoli per il controller del gruppo di risorse:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: null
  labels:
    configmanagement.gke.io/arch: "csmr"
    configmanagement.gke.io/system: "true"
  name: resource-group-manager-role
rules:
# This permission is needed to get the status for managed resources
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - get
  - list
  - watch
# This permission is needed to watch/unwatch types as they are registered or removed.
- apiGroups:
  - apiextensions.k8s.io
  resources:
  - customresourcedefinitions
  verbs:
  - get
  - list
  - watch
# This permission is needed so that the ResourceGroup Controller can reconcile a ResourceGroup CR
- apiGroups:
  - kpt.dev
  resources:
  - resourcegroups
  verbs:
  - create
  - delete
  - get
  - list
  - patch
  - update
  - watch
# This permission is needed so that the ResourceGroup Controller can update the status of a ResourceGroup CR
- apiGroups:
  - kpt.dev
  resources:
  - resourcegroups/status
  verbs:
  - get
  - patch
  - update
# This permission is needed so that the ResourceGroup Controller can work on a cluster with PSP enabled
- apiGroups:
  - policy
  resourceNames:
  - acm-psp
  resources:
  - podsecuritypolicies
  verbs:
  - use
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  labels:
    configmanagement.gke.io/arch: "csmr"
    configmanagement.gke.io/system: "true"
  name: resource-group-leader-election-role
  namespace: resource-group-system
rules:  // The following permissions are needed so that the leader election can work
- apiGroups:
  - ""
  resources:
  - configmaps
  verbs:
  - get
  - list
  - watch
  - create
  - update
  - patch
  - delete
- apiGroups:
  - ""
  resources:
  - configmaps/status
  verbs:
  - get
  - update
  - patch
- apiGroups:
  - ""
  resources:
  - events
  verbs:
  - create
- apiGroups:
  - coordination.k8s.io
  resources:
  - leases
  verbs:
  - '*'

Autorizzazioni predefinite di Config Sync Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.