基于角色的访问控制身份验证，用于备份和恢复Kubernetes Cluster Heptio Ark

Question

当我为集群备份安装ARK服务器和Velero时，在那个时间点，它要求RBAC身份验证。当我们输入以下命令时，身份验证过程显示错误

kubectl create clusterrolebinding cluster-admin-binding --clusterrole cluster-admin --user info.mail_id@gmail.com`

错误

Error from server (Forbidden): clusterrolebindings.rbac.authorization.k8s.io is forbidden: User "info.mail_id@gmail.com" cannot create resource "clusterrolebindings" in API group "rbac.authorization.k8s.io" at the cluster scope

正如本文中给出的here

Answer 1

kubernetes没有USER对象。您需要使用证书来获得api服务器的身份验证和授权。

生成证书，使用集群ca.build kubeconfig文件签名。分配适当的角色和角色绑定，并使用kubeconfig，您应该能够使用velero执行备份和恢复

或者，下载velero并使用velero install命令将velero部署到k8s群集中

Answer 2

我已经说过了，但我觉得这需要更多的指导。

1. 您需要创建Certificates并对其进行签名。你可以找到一个关于在集群中管理Here证书的有用教程。

TLS提供了TLS，允许您提供由您控制的证书颁发机构(CA)签名的certificates.k8s.io证书。您的工作负载可以使用这些CA和证书来建立信任。

1. Use RBAC Authorization.

Kubernetes RBAC使用rbac.authorization.k8s.io API组来驱动授权决策，允许管理员通过Kubernetes API动态配置策略。

有关角色和ClusterRoles以及RoleBindings和ClusterRoleBindings的详细信息，请参阅API Overview。

在RBAC API中，角色包含表示一组权限的规则。权限纯粹是附加的(没有“拒绝”规则)。可以使用角色在命名空间中定义角色，也可以使用ClusterRole在群集范围内定义角色。

角色绑定将角色中定义的权限授予一个用户或一组用户。它包含主体(用户、组或服务帐户)的列表，以及对被授予的角色的引用。可以通过RoleBinding在命名空间内授予权限，也可以通过ClusterRoleBinding在集群范围内授予权限。

1. ，如果你需要一些关于使用Velero进行备份和恢复的指南，除了常规的this blog和GitHub之外，你可能还想看看Velero

我希望它能帮上忙。