简单RBAC实例中的问题

Question

我想做一个非常简单的例子，学习如何在kubernetes中使用RBAC授权。因此，我使用来自docs的示例：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: dev
  name: dev-readpods-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: dev-tester-rolebinding
  namespace: dev
subjects:
- kind: User
  name: Tester
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: dev-readpods-role
  apiGroup: rbac.authorization.k8s.io

创建角色和角色绑定。

当我和Tester登录并尝试

kubectl get pods -n dev

我得到了

Error from server (Forbidden): pods is forbidden: User "<url>:<port>/oidc/endpoint/OP#Tester" cannot list pods in the namespace "dev"

我在这里看到(RBAC Error in Kubernetes)，api-server必须以--授权-模式=…启动。、RBAC.我怎么查这个？我在别的地方读到如果我跑

kubectl api-versions | findstr rbac

查找条目RBAC应该被激活。这是真的吗？

我做错了什么？有什么好的方法来排除故障吗？

谢谢!

我在中运行kubernetes。

Answer 1

在比较方案中，使用小组似乎令人鼓舞(我认为是比较方案自己的任期)。试着从它开始。但您需要ICP之外的LDAP服务器。management/admin.html

Answer 2

您需要确定对apiserver的调用，以查看向其传递了什么--授权模式标志。通常，这是包含在一个系统的单位文件或荚清单。我不知道IBM是如何启动apiserver的