Kubernetes仪表板允许用户只需点击几下即可查看所有机密信息,包括原始值.这些机密可能包含非常敏感的数据,例如生产数据库密码和私钥.
如何限制仪表板的用户,以便他们无法查看敏感数据?
最佳答案 这是一个
known issue,目前还没有正式支持 – 仪表板是一个超级用户级别的管理工具.永远这是
should not be the case,但需要更多的帮助才能实现它.
在该问题线程中讨论了一些当前工作的变通方法.以下是他们周围要注意的一些值得注意的怪癖:
>仪表板是否应位于仪表板用户之下,并受此限制?如果是这样的话,就像Anirudh建议你可以使用Dashboard的中性部分,如果他们访问Secrets面板,它将正常工作并获得403s.
>仪表板是否应该在登录用户下,并且仅限于用户可以看到的内容?这意味着在没有某些浏览器插件或MITM代理的情况下,kubectl代理将是必需的,以便将所需的auth附加到仪表板服务器调用,但它是is possible.