【笔记】Helm-3 主题-15 SQL存储后端的权限管理

SQL存储后端的权限管理

该文档旨在提供用户使用SQL存储后端时设置和管理权限的指导。

介绍

为了处理权限,Helm利用了Kubernetes的RBAC特性。使用SQL存储后端时,Kubernetes的角色不能被用于确认用户是否可以访问给定的资源。该文档会展示如果创建和管理权限。

初始化

Helm CLI首先会连接您的数据库。客户端会确认数据库是否已经预先初始化,如果没有,它会自动处理必要的安装。初始化需要在public架构的admin权限,或者至少可以做以下事情:

1、创建一个表

2、在public架构授予权限

当您的数据库执行过迁移操作之后,其他角色就可以使用客户端了。

PostgreSQL向非管理员用户授权

管理权限时,SQL后端驱动会利用PostgreSQL的 RLS(行安全级别)特性。RLS允许所有用户读/写同一张表,如果没有明确说明,不允许操作相同的行。默认情况下,运行helm list时任何角色如果没有明确授权正确的权限会返回空列表,并且不能检索或修改集群中的任何资源。

PostgreSQL: Documentation: 9.5: Row Security Policies

我们来看看如何为给定角色授予访问特定命令空间的权限:

CREATE POLICY <name> ON releases_v1 FOR ALL TO <role> USING (namespace = 'default');

CREATE POLICY <name> ON releases_v1 FOR ALL TO <role> USING (namespace = 'default');

这个命令在使用namespace = 'default'条件时会授权给角色role所有资源读和写操作权限。在创建这个策略时,运行helm list时会代表角色role在默认的命令空间中数据库,因而能看到命名空间中所有的版本,并能修改和删除它们。

权限可以按照RLS粒度进行管理,人们可能会对表的不同列的访问限制感兴趣:

key

type

body

name

namespace

version

status

owner

createdAt

modifiedAt


仅用于本人学习

来源:Helm | Docs

相关推荐
皮锤打乌龟4 小时前
(干货)Jenkins使用kubernetes插件连接k8s的认证方式
运维·kubernetes·jenkins
sam-1237 小时前
k8s上部署redis高可用集群
redis·docker·k8s
ggaofeng8 小时前
通过命令学习k8s
云原生·容器·kubernetes
qq_道可道12 小时前
K8S升级到1.24后,切换运行时导致 dind 构建镜像慢根因定位与解决
云原生·容器·kubernetes
SONGW201812 小时前
k8s拓扑域 :topologyKey
kubernetes
weixin_4381973813 小时前
K8S实现反向代理,负载均衡
linux·运维·服务器·nginx·kubernetes
郝同学的测开笔记14 小时前
云原生探索系列(十二):Go 语言接口详解
后端·云原生·go
mit6.82415 小时前
[Docker#5] 镜像仓库 | 命令 | 实验:搭建Nginx | 创建私有仓库
linux·后端·docker·云原生
数据猿17 小时前
【金猿人物展】博睿数据董事长兼CEO李凯:云原生与数据治理融合,实现全域数据协同...
云原生
华为云开发者联盟19 小时前
解读Karmada多云容器编排技术,加速分布式云原生应用升级
kubernetes·集群·karmada·多云容器