我使用所有默认设置创建了一个master,一个worker kubeadm集群(除了将kubernetes版本更改为1.13.4)。特别是,仅启用了Node和RBAC授权,并且我使用默认管理员凭据来访问群集,该群集以用户kubernetes-admin和组system:master(使用客户端证书绑定到群集管理集群)来验证我身份。
然后我删除了cluster-admin集群,但我仍然拥有完整的访问权限,包括列表pod。为什么是这样?我注意到集群管理员集群确实在一段时间后回来了,但在过渡期间,我希望我的权限不在那里。
kubeadm版本:
kubeadm version: &version.Info{Major:"1", Minor:"13", GitVersion:"v1.13.4", GitCommit:"c27b913fddd1a6c480c229191a087698aa92f0b1", GitTreeState:"clean", BuildDate:"2019-02-28T13:35:32Z", GoVersion:"go1.11.5", Compiler:"gc", Platform:"linux/amd64"}
kubernetes版本:1.13.4
system:masters组(在我的客户证书上设置为组织)可以绕过RBAC检查:https://github.com/kubernetes/kubernetes/blob/master/pkg/registry/rbac/escalation_check.go#L38-L44