comment vérifier si RBAC est activé, en utilisant kubectl

Question

J'essaie d'installer un paquet helm sur un cluster kubernetes qui aurait désactivé le RBAC. J'obtiens une erreur de permission mentionnant clusterroles.rbac.authorization.k8s.io ce qui est ce que j'attendais si RBAC était activé .

Y a-t-il un moyen de vérifier avec kubectl si RBAC est vraiment désactivé ?

Ce que j'ai essayé :

• kubectl describe nodes --all-namespaces | grep -i rbac : rien ne s'affiche
• kubectl describe rbac --all-namespaces | grep -i rbac : rien ne s'affiche
• kubectl config get-contexts | grep -i rbac : rien ne s'affiche
• k get clusterroles il indique "Aucune ressource trouvée", sans message d'erreur. Cela signifie-t-il que RBAC est activé ?
• kuebctl describe cluster n'est pas une chose

Je suis conscient que peut-être c'est le problème x-y car il est possible que le package helm que j'installe s'attende à ce que RBAC soit activé. Mais quand même, j'aimerais savoir comment vérifier s'il est activé/désactivé.

Answer 1

Vous pouvez le vérifier en exécutant la commande kubectl api-versions Si le RBAC est activé, vous devriez voir la version de l'API. .rbac.authorization.k8s.io/v1 .

Dans AKS, le meilleur moyen est de vérifier les détails des ressources du cluster à l'adresse suivante ressources.azure.com . Si vous pouvez repérer "enableRBAC": true si votre cluster est doté de la fonction RBAC. Veuillez noter que les clusters AKS existants qui ne sont pas activés par RBAC ne peuvent pas être mis à jour pour l'utilisation de RBAC. (merci à @DennisAmeling pour la clarification)

Answer 2

J'aimerais qu'il y ait un meilleur moyen, mais ce que j'utilise est.. :

$ kubectl cluster-info dump | grep authorization-mode

Si vous pouvez l'exécuter, vous devriez voir soit RBAC et si vous n'avez pas les autorisations pour le faire, il y a de fortes chances que le RBAC soit activé.

Answer 3

Pour Azure (AKS), c'est un peu plus délicat. Bien que le kubectl api-versions La commande renvoie en effet rbac.authorization.k8s.io/v1 le kubectl get clusterroles ne renvoie pas la commande par défaut system: rôles préfixés.

La meilleure façon de vérifier la présence d'AKS est de consulter les détails des ressources du cluster, par exemple à l'adresse suivante ressources.azure.com . Si "enableRBAC": true votre cluster a activé RBAC. Clusters AKS existants non équipés de RBAC ne peut actuellement pas être mis à jour pour une utilisation RBAC. Donc, si vous voulez activer RBAC sur AKS, vous devrez créer un nouveau cluster.

Answer 4

Pour Azure (AKS), je pense que Azure CLI fonctionne bien.

az resource show -g <resource group name> -n <cluster name> --resource-type Microsoft.ContainerService/ManagedClusters --query properties.enableRBAC

C'est essentiellement la même chose que d'utiliser ressources.azure.com mais je trouve plus rapide d'utiliser la fonction Azure CLI

Answer 5

Option #1 : Si vous avez accès au nœud maître, connectez-vous et vérifiez les points suivants

ps -aef | grep -i apiserver
The options should have --authorization-mode=RBAC otherwise RBAC not enabled.

Option n° 2 :

kubectl get clusterroles | grep -i rbac

J'espère que cela vous aidera

Rgds Sudhakar