是否可以在Google Container Engine中啓用ABAC模式（授權）？

Question

我想爲我在Google的Container Engine中使用的Kubernetes集羣啓用ABAC mode。 （更具體地說，我想限制對默認服務帳戶的API服務的訪問，該服務帳戶被自動分配給所有窗格）。但是，由於--authorization-mode=ABAC是kube-apiserver的命令行參數，並且由於API服務器是在Google Container Engine中管理的，所以我沒有找到爲羣集啓用授權的方法。

有沒有辦法在GCE上啓用ABAC模式？

我目前正在服務器和節點上運行Kubernetes v1.1.7。

Answer 1

沒有辦法在Google Container Engine上啓用ABAC模式。如果您需要對傳遞給任何主組件的參數進行細化控制，則必須在GCE上運行Kubernetes。

Answer 2

與此同時，谷歌增加了使用基於角色的訪問控制（RBAC）作爲Kubernetes集羣的可能性。對於運行Kubernetes 1.6或更高版本的所有新集羣，默認情況下啓用：https://cloud.google.com/container-engine/docs/role-based-access-control