kubectl auth can-i
简介
检查某个操作是否被允许。
- VERB 指的是逻辑上的 Kubernetes API 动词,如
get、list、watch、delete等。 - TYPE 指的是 Kubernetes 中的一种资源类型,快捷表示和资源组都可被解析。
- NONRESOURCEURL 是以
/开头的部分 URL。 - NAME 是特定 Kubernetes 资源的名称,此命令可与身份伪装功能完美搭配,请参阅 --as 全局标志。
kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL]
示例
# 检查是否可以在任意命名空间中创建 Pod
kubectl auth can-i create pods --all-namespaces
# 检查是否可以列出当前命名空间中的 Deployment
kubectl auth can-i list deployments.apps
# 检查命名空间 "dev" 的服务帐户 "foo" 是否可以列出命名空间 "prod" 下的 Pod。
# 你必须有权限使用全局选项 "--as" 所涉及的身份伪装功能。
kubectl auth can-i list pods --as=system:serviceaccount:dev:foo -n prod
# 检查我是否可以在当前命名空间中执行所有操作("*" 表示全部)
kubectl auth can-i '*' '*'
# 检查是否可以在命名空间 "foo" 中获取名为 "bar" 的 Job
kubectl auth can-i list jobs.batch/bar -n foo
# 检查我是否可以读取 Pod 日志
kubectl auth can-i get pods --subresource=log
# 检查是否可以访问 URL /logs/
kubectl auth can-i get /logs/
# 列出命名空间 "foo" 中所有允许的操作
kubectl auth can-i --list --namespace=foo
选项
| -A, --all-namespaces | |
如果为 true,则在所有命名空间中执行指定的操作。 | |
| -h, --help | |
关于 can-i 的帮助信息。 | |
| --list | |
如果为真,则打印所有允许的操作。 | |
| --no-headers | |
如果为真,则打印允许的操作而不打印标题。 | |
| -q, --quiet | |
如果为真,则抑制输出并仅返回退出代码。 | |
| --subresource string | |
子资源(例如 pod/log 或 deploy/scale)。 | |
| --as string | |
操作所用的伪装用户名。用户可以是常规用户或命名空间中的服务账号。 | |
| --as-group strings | |
操作所用的伪装用户组,此标志可以被重复设置以指定多个组。 | |
| --as-uid string | |
操作所用的伪装 UID。 | |
| --cache-dir string 默认值:"$HOME/.kube/cache" | |
默认缓存目录。 | |
| --certificate-authority string | |
证书机构的证书文件的路径。 | |
| --client-certificate string | |
TLS 客户端证书文件的路径。 | |
| --client-key string | |
TLS 客户端密钥文件的路径。 | |
| --cloud-provider-gce-l7lb-src-cidrs cidrs 默认值:130.211.0.0/22,35.191.0.0/16 | |
GCE 防火墙中为 L7 负载均衡流量代理和健康检查开放的 CIDR。 | |
| --cloud-provider-gce-lb-src-cidrs cidrs 默认值:130.211.0.0/22,209.85.152.0/22,209.85.204.0/22,35.191.0.0/16 | |
GCE 防火墙中为 L4 负载均衡流量代理和健康检查开放的 CIDR。 | |
| --cluster string | |
要使用的 kubeconfig 中集群的名称。 | |
| --context string | |
要使用的 kubeconfig 上下文的名称。 | |
| --default-not-ready-toleration-seconds int 默认值:300 | |
设置针对 notReady:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。 | |
| --default-unreachable-toleration-seconds int 默认值:300 | |
设置针对 unreachable:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。 | |
| --disable-compression | |
如果为 true,则对服务器所有请求的响应不再压缩。 | |
| --insecure-skip-tls-verify | |
如果为 true,则不检查服务器证书的有效性。这将使你的 HTTPS 连接不安全。 | |
| --kubeconfig string | |
CLI 请求要使用的 kubeconfig 文件的路径。 | |
| --match-server-version | |
要求服务器版本与客户端版本匹配。 | |
| -n, --namespace string | |
如果存在,则是此 CLI 请求的命名空间范围。 | |
| --password string | |
对 API 服务器进行基本身份验证所用的密码。 | |
| --profile string 默认值:"none" | |
要记录的性能分析信息。可选值为(none|cpu|heap|goroutine|threadcreate|block|mutex)。 | |
| --profile-output string 默认值:"profile.pprof" | |
性能分析信息要写入的目标文件的名称。 | |
| --request-timeout string 默认值:"0" | |
在放弃某个服务器请求之前等待的时长。非零值应包含相应的时间单位(例如 1s、2m、3h)。 值为零表示请求不会超时。 | |
| -s, --server string | |
Kubernetes API 服务器的地址和端口。 | |
| --storage-driver-buffer-duration duration 默认值:1m0s | |
对存储驱动的写入操作将被缓存的时长;缓存的操作会作为一个事务提交给非内存后端。 | |
| --storage-driver-db string 默认值:"cadvisor" | |
数据库名称。 | |
| --storage-driver-host string 默认值:"localhost:8086" | |
数据库 host:port。 | |
| --storage-driver-password string 默认值:"root" | |
数据库密码。 | |
| --storage-driver-secure | |
使用与数据库的安全连接。 | |
| --storage-driver-table string 默认值:"stats" | |
表名。 | |
| --storage-driver-user string 默认值:"root" | |
数据库用户名。 | |
| --tls-server-name string | |
服务器证书验证所用的服务器名称。如果未提供,则使用与服务器通信所用的主机名。 | |
| --token string | |
向 API 服务器进行身份验证的持有者令牌。 | |
| --user string | |
要使用的 kubeconfig 用户的名称。 | |
| --username string | |
对 API 服务器进行基本身份验证时所用的用户名。 | |
| --version version[=true] | |
--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本。 | |
| --warnings-as-errors | |
将从服务器收到的警告视为错误,并以非零退出码退���。 | |
另请参见
- kubectl auth - 检视授权情况