【笔记】Helm-3 主题-15 SQL存储后端的权限管理

SQL存储后端的权限管理

该文档旨在提供用户使用SQL存储后端时设置和管理权限的指导。

介绍

为了处理权限,Helm利用了Kubernetes的RBAC特性。使用SQL存储后端时,Kubernetes的角色不能被用于确认用户是否可以访问给定的资源。该文档会展示如果创建和管理权限。

初始化

Helm CLI首先会连接您的数据库。客户端会确认数据库是否已经预先初始化,如果没有,它会自动处理必要的安装。初始化需要在public架构的admin权限,或者至少可以做以下事情:

1、创建一个表

2、在public架构授予权限

当您的数据库执行过迁移操作之后,其他角色就可以使用客户端了。

PostgreSQL向非管理员用户授权

管理权限时,SQL后端驱动会利用PostgreSQL的 RLS(行安全级别)特性。RLS允许所有用户读/写同一张表,如果没有明确说明,不允许操作相同的行。默认情况下,运行helm list时任何角色如果没有明确授权正确的权限会返回空列表,并且不能检索或修改集群中的任何资源。

PostgreSQL: Documentation: 9.5: Row Security Policies

我们来看看如何为给定角色授予访问特定命令空间的权限:

CREATE POLICY <name> ON releases_v1 FOR ALL TO <role> USING (namespace = 'default');

CREATE POLICY <name> ON releases_v1 FOR ALL TO <role> USING (namespace = 'default');

这个命令在使用namespace = 'default'条件时会授权给角色role所有资源读和写操作权限。在创建这个策略时,运行helm list时会代表角色role在默认的命令空间中数据库,因而能看到命名空间中所有的版本,并能修改和删除它们。

权限可以按照RLS粒度进行管理,人们可能会对表的不同列的访问限制感兴趣:

key

type

body

name

namespace

version

status

owner

createdAt

modifiedAt


仅用于本人学习

来源:Helm | Docs

相关推荐
Python私教40 分钟前
ubuntu搭建k8s环境详细教程
linux·ubuntu·kubernetes
运维&陈同学1 小时前
【zookeeper01】消息队列与微服务之zookeeper工作原理
运维·分布式·微服务·zookeeper·云原生·架构·消息队列
O&REO2 小时前
单机部署kubernetes环境下Overleaf-基于MicroK8s的Overleaf应用部署指南
云原生·容器·kubernetes
politeboy2 小时前
k8s启动springboot容器的时候,显示找不到application.yml文件
java·spring boot·kubernetes
运维小文3 小时前
K8S资源限制之LimitRange
云原生·容器·kubernetes·k8s资源限制
登云时刻3 小时前
Kubernetes集群外连接redis集群和使用redis-shake工具迁移数据(二)
redis·容器·kubernetes
wuxingge12 小时前
k8s1.30.0高可用集群部署
云原生·容器·kubernetes
志凌海纳SmartX13 小时前
趋势洞察|AI 能否带动裸金属 K8s 强势崛起?
云原生·容器·kubernetes
锅总13 小时前
nacos与k8s service健康检查详解
云原生·容器·kubernetes
BUG弄潮儿13 小时前
k8s 集群安装
云原生·容器·kubernetes