Karmada 组件权限
本文档详细解释了每个 Karmada 组件需要访问的资源以及访问这些资源的原因。它将帮助管理员了解并有效配置 Karmada 组件所需的 RBAC 权限,确保系统安全高效地运行。 社区维护的 安装工具 在设计时考虑到了安全性。这些工具使用基于角色的访问控制(RBAC)来管理组件的访问权限,确保它们只能访问所需的资源。通过坚持最小权限原则,这些工具最大限度地降低了潜在的安全风险,并阻止了系统内未经授权的访问或操作。
karmada-operator
简介:
Karmada-operator 是一种用于安装、升级和删除 Karmada 实例的组件。它基于 Karmada 资源和控制器的基本概念,提供了方便的方式来集中管理 Karmada 实例的整个生命周期。
部署 Karmada-operator 集群的资源
Resource | API Group | Resource Names | Namespace | Verbs | Description |
---|---|---|---|---|---|
leases | coordination.k8s.io | get, create, update | 用于 leader 选举 | ||
karmadas | operator.karmada.io | get, list, watch, update | 用于管理 Karmada 实例 | ||
karmadas/status | operator.karmada.io | update | 用于更新 Karmada 实例的状态 | ||
events | “” | create | 允许 karmada-operator 在 Kubernetes API Server 中记录 events。 | ||
nodes | “” | NA | list | 用于获取 Node IP | |
pods | “” | list | 用于 pod 的健康检查 | ||
namespaces | “” | get | 用于获取命名空间信息,并将资源部署到特定命名空间中 | ||
secrets | “” | get, create, update, delete | 用于管理 Secret(可能包含敏感数据,如认证信息) | ||
services | “” | get, create, update, delete | 用于管理Service,为集群内应用提供服务发现 | ||
statefulsets | “” | get, create, update, delete | 用于管理 StatefulSet(如 etcd) | ||
deployments | apps | * | get, create, update, delete | 用于管理Deployment(如 karmada-apiserver) |
Non-Resource URLs | Verbs | Description |
---|---|---|
/healthz | get | 用于检查 Karmada API Server 的健康状态。 |
Karmada 资源
无
karmada-agent
简介:
Karmada-agent 将特定集群注册到 Karmada 控制平面,并将工作负载清单从 Karmada 控制平面同步到成员集群。 此外,它也负责将成员集群及其资源的状态同步到 Karmada 控制平面。
部署 Karmada-agent 集群的资源
Resource | API Group | Resource Names | Namespace | Verbs | Description |
---|---|---|---|---|---|
* | karmada-agent 在成员集群充当管理员 |
Non-Resource URLs | Verbs | Description |
---|---|---|
* | get | karmada-agent 在成员集群充当管理员 |
Karmada 资源
下表中,{{cluster_name}}
为 karmada-agent 注册的成员集群的集群名,{{cluster_namespace}}
为部署成员集群 secrets 资源的命名空间,默认为 karmada-cluster
。
Resource | API Group | Resource Names | Namespace | Verbs | Description |
---|---|---|---|---|---|
clusters | cluster.karmada.io | NA | list, watch,create | 用于创建集群并监听集群状态 | |
clusters | cluster.karmada.io | {{cluster_name}} | NA | get, delete | 删查特定的集群 |
clusters/status | cluster.karmada.io | {{cluster_name}} | NA | update | 用于更新特定集群的状态 |
resourceinterpreterwebhookconfigurations | config.karmada.io | NA | get, list, watch | 用于获取 resourceinterpreterwebhookconfigurations资源 | |
resourceinterpretercustomizations | config.karmada.io | NA | get, list, watch | 用于获取 resourceinterpretercustomizations 资源 | |
namespaces | “” | get | 用于获取命名空间 | ||
leases | coordination.k8s.io | get, create, update | 用于 leader 选举 | ||
certificatesigningrequests | certificates.k8s.io | NA | get, create | 获取和创建 CSR 资源,用于 Karmada-agent 的证书轮转 | |
services | “” | list, watch | 用于构建 ClusterIPServiceResolver 资源解释器 | ||
events | “” | create, patch, update | 允许 karmada-agent 在 Karmada API Server 中记录 events | ||
secrets | “” | {{cluster_name}} | {{cluster_namespace}} | get, patch | 用于获取和修改特定 secret资源 |
secrets | “” | {{cluster_namespace}} | create | 用于创建 secret资源 | |
works | work.karmada.io | karmada-es-{{cluster_name}} | get, create, list, watch, update, delete | 用于创建和管理特定命名空间下 的 work 资源 | |
works/status | work.karmada.io | * | karmada-es-{{cluster_name}} | patch, update | 用于更新特定命名空间下 work 的状态 |
其他组件
更多组件的权限信息待加入。