这是本节的多页打印视图。 点击此处打印.

返回本页常规视图.

kubectl auth

简介

检查授权。

kubectl auth [flags]

选项

-h, --help

关于 auth 的帮助信息。

--as string

操作所用的伪装用户名。用户可以是常规用户或命名空间中的服务账号。

--as-group strings

操作所用的伪装用户组,此标志可以被重复设置以指定多个组。

--as-uid string

操作所用的伪装 UID。

--cache-dir string     默认值:"$HOME/.kube/cache"

默认缓存目录。

--certificate-authority string

证书机构的证书文件的路径。

--client-certificate string

TLS 客户端证书文件的路径。

--client-key string

TLS 客户端密钥文件的路径。

--cloud-provider-gce-l7lb-src-cidrs cidrs     默认值:130.211.0.0/22,35.191.0.0/16

GCE 防火墙中为 L7 负载均衡流量代理和健康检查开放的 CIDR。

--cloud-provider-gce-lb-src-cidrs cidrs     默认值:130.211.0.0/22,209.85.152.0/22,209.85.204.0/22,35.191.0.0/16

GCE 防火墙中为 L4 负载均衡流量代理和健康检查开放的 CIDR。

--cluster string

要使用的 kubeconfig 中集群的名称。

--context string

要使用的 kubeconfig 上下文的名称。

--default-not-ready-toleration-seconds int     默认值:300

设置针对 notReady:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。

--default-unreachable-toleration-seconds int     默认值:300

设置针对 unreachable:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。

--disable-compression

如果为 true,则对服务器所有请求的响应不再压缩。

--insecure-skip-tls-verify

如果为 true,则不检查服务器证书的有效性。这将使你的 HTTPS 连接不安全。

--kubeconfig string

CLI 请求要使用的 kubeconfig 文件的路径。

--match-server-version

要求服务器版本与客户端版本匹配。

-n, --namespace string

如果存在,则是此 CLI 请求的命名空间范围。

--password string

对 API 服务器进行基本身份验证所用的密码。

--profile string     默认值:"none"

要记录的性能分析信息。可选值为(none|cpu|heap|goroutine|threadcreate|block|mutex)。

--profile-output string     默认值:"profile.pprof"

性能分析信息要写入的目标文件的名称。

--request-timeout string     默认值:"0"

在放弃某个服务器请求之前等待的时长。非零值应包含相应的时间单位(例如 1s、2m、3h)。 值为零表示请求不会超时。

-s, --server string

Kubernetes API 服务器的地址和端口。

--storage-driver-buffer-duration duration     默认值:1m0s

对存储驱动的写入操作将被缓存的时长;缓存的操作会作为一个事务提交给非内存后端。

--storage-driver-db string     默认值:"cadvisor"

数据库名称。

--storage-driver-host string     默认值:"localhost:8086"

数据库 host:port。

--storage-driver-password string     默认值:"root"

数据库密码。

--storage-driver-secure

使用与数据库的安全连接。

--storage-driver-table string     默认值:"stats"

表名。

--storage-driver-user string     默认值:"root"

数据库用户名。

--tls-server-name string

服务器证书验证所用的服务器名称。如果未提供,则使用与服务器通信所用的主机名。

--token string

向 API 服务器进行身份验证的持有者令牌。

--user string

要使用的 kubeconfig 用户的名称。

--username string

对 API 服务器进行基本身份验证时所用的用户名。

--version version[=true]

--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本。

--warnings-as-errors

将从服务器收到的警告视为错误,并以非零退出码退出。

另请参见

1 - kubectl auth can-i

简介

检查某个操作是否被允许。

  • VERB 指的是逻辑上的 Kubernetes API 动词,如 getlistwatchdelete 等。
  • TYPE 指的是 Kubernetes 中的一种资源类型,快捷表示和资源组都可被解析。
  • NONRESOURCEURL 是以 / 开头的部分 URL。
  • NAME 是特定 Kubernetes 资源的名称,此命令可与身份伪装功能完美搭配,请参阅 --as 全局标志。
kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL]

示例

# 检查是否可以在任意命名空间中创建 Pod
kubectl auth can-i create pods --all-namespaces
  
# 检查是否可以列出当前命名空间中的 Deployment
kubectl auth can-i list deployments.apps
  
# 检查命名空间 "dev" 的服务帐户 "foo" 是否可以列出命名空间 "prod" 下的 Pod。
# 你必须有权限使用全局选项 "--as" 所涉及的身份伪装功能。
kubectl auth can-i list pods --as=system:serviceaccount:dev:foo -n prod
  
# 检查我是否可以在当前命名空间中执行所有操作("*" 表示全部)
kubectl auth can-i '*' '*'

# 检查是否可以在命名空间 "foo" 中获取名为 "bar" 的 Job
kubectl auth can-i list jobs.batch/bar -n foo

# 检查我是否可以读取 Pod 日志
kubectl auth can-i get pods --subresource=log

# 检查是否可以访问 URL /logs/
kubectl auth can-i get /logs/

# 列出命名空间 "foo" 中所有允许的操作
kubectl auth can-i --list --namespace=foo

选项

-A, --all-namespaces

如果为 true,则在所有命名空间中执行指定的操作。

-h, --help

关于 can-i 的帮助信息。

--list

如果为真,则打印所有允许的操作。

--no-headers

如果为真,则打印允许的操作而不打印标题。

-q, --quiet

如果为真,则抑制输出并仅返回退出代码。

--subresource string

子资源(例如 pod/log 或 deploy/scale)。

--as string

操作所用的伪装用户名。用户可以是常规用户或命名空间中的服务账号。

--as-group strings

操作所用的伪装用户组,此标志可以被重复设置以指定多个组。

--as-uid string

操作所用的伪装 UID。

--cache-dir string     默认值:"$HOME/.kube/cache"

默认缓存目录。

--certificate-authority string

证书机构的证书文件的路径。

--client-certificate string

TLS 客户端证书文件的路径。

--client-key string

TLS 客户端密钥文件的路径。

--cloud-provider-gce-l7lb-src-cidrs cidrs     默认值:130.211.0.0/22,35.191.0.0/16

GCE 防火墙中为 L7 负载均衡流量代理和健康检查开放的 CIDR。

--cloud-provider-gce-lb-src-cidrs cidrs     默认值:130.211.0.0/22,209.85.152.0/22,209.85.204.0/22,35.191.0.0/16

GCE 防火墙中为 L4 负载均衡流量代理和健康检查开放的 CIDR。

--cluster string

要使用的 kubeconfig 中集群的名称。

--context string

要使用的 kubeconfig 上下文的名称。

--default-not-ready-toleration-seconds int     默认值:300

设置针对 notReady:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。

--default-unreachable-toleration-seconds int     默认值:300

设置针对 unreachable:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。

--disable-compression

如果为 true,则对服务器所有请求的响应不再压缩。

--insecure-skip-tls-verify

如果为 true,则不检查服务器证书的有效性。这将使你的 HTTPS 连接不安全。

--kubeconfig string

CLI 请求要使用的 kubeconfig 文件的路径。

--match-server-version

要求服务器版本与客户端版本匹配。

-n, --namespace string

如果存在,则是此 CLI 请求的命名空间范围。

--password string

对 API 服务器进行基本身份验证所用的密码。

--profile string     默认值:"none"

要记录的性能分析信息。可选值为(none|cpu|heap|goroutine|threadcreate|block|mutex)。

--profile-output string     默认值:"profile.pprof"

性能分析信息要写入的目标文件的名称。

--request-timeout string     默认值:"0"

在放弃某个服务器请求之前等待的时长。非零值应包含相应的时间单位(例如 1s、2m、3h)。 值为零表示请求不会超时。

-s, --server string

Kubernetes API 服务器的地址和端口。

--storage-driver-buffer-duration duration     默认值:1m0s

对存储驱动的写入操作将被缓存的时长;缓存的操作会作为一个事务提交给非内存后端。

--storage-driver-db string     默认值:"cadvisor"

数据库名称。

--storage-driver-host string     默认值:"localhost:8086"

数据库 host:port。

--storage-driver-password string     默认值:"root"

数据库密码。

--storage-driver-secure

使用与数据库的安全连接。

--storage-driver-table string     默认值:"stats"

表名。

--storage-driver-user string     默认值:"root"

数据库用户名。

--tls-server-name string

服务器证书验证所用的服务器名称。如果未提供,则使用与服务器通信所用的主机名。

--token string

向 API 服务器进行身份验证的持有者令牌。

--user string

要使用的 kubeconfig 用户的名称。

--username string

对 API 服务器进行基本身份验证时所用的用户名。

--version version[=true]

--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本。

--warnings-as-errors

将从服务器收到的警告视为错误,并以非零退出码退出。

另请参见

2 - kubectl auth reconcile

简介

调和 RBAC 角色、角色绑定、集群角色和集群角色绑定对象的规则。

  • 如果需要,将创建缺失的对象,同时对于命名空间作用域的对象,其所归属的命名空间也会被创建。
  • 现有角色将被更新以包含输入对象中的权限,如果指定了 --remove-extra-permissions,则额外的权限会被删除。
  • 现有绑定将被更新以包含输入对象中的主体,如果指定了 --remove-extra-subjects,则额外的主体会被删除。
  • 对于 RBAC 资源,这种操作比 apply 更可取,因为能够对规则和主体作语义感知的合并。
kubectl auth reconcile -f FILENAME

示例

# 调和某文件中的 RBAC 资源
kubectl auth reconcile -f my-rbac-rules.yaml

选项

--allow-missing-template-keys     默认值:true

如果为 true,在模板中字段或映射键缺失时忽略模板中的错误。 仅适用于 golang 和 jsonpath 输出格式。

--dry-run string[="unchanged"]     默认值:"none"

必须是 "none"、"server" 或 "client"。如果是 client 策略,仅打印将要发送的对象,而不实际发送。 如果是 server 策略,提交服务器端请求而不持久化资源。

-f, --filename strings

包含要被调和的资源的文件名、目录或文件 URL 列表。

-h, --help

关于 reconcile 的帮助信息。

-k, --kustomize string

处理 kustomization 目录。此标志不能与 -f 或 -R 一起使用。

-o, --output string

输出格式。可选值为: json、yaml、name、go-template、go-template-file、template、templatefile、jsonpath、jsonpath-as-json、jsonpath-file。

-R, --recursive

递归处理在 -f、--filename 中给出的目录。当你想要管理位于同一目录中的相关清单时很有用。

--remove-extra-permissions

如果为真,则删除之前添加到角色的额外权限。

--remove-extra-subjects

如果为真,则删除之前添加到角色绑定上的额外主体。

--show-managed-fields

如果为 true,在以 JSON 或 YAML 格式打印对象时保留 managedFields。

--template string

当 -o=go-template、-o=go-template-file 时使用的模板字符串或模板文件路径。 模板格式为 golang 模板 [http://golang.org/pkg/text/template/#pkg-overview]。

--as string

操作所用的伪装用户名。用户可以是常规用户或命名空间中的服务账号。

--as-group strings

操作所用的伪装用户组,此标志可以被重复设置以指定多个组。

--as-uid string

操作所用的伪装 UID。

--cache-dir string     默认值:"$HOME/.kube/cache"

默认缓存目录。

--certificate-authority string

证书机构的证书文件的路径。

--client-certificate string

TLS 客户端证书文件的路径。

--client-key string

TLS 客户端密钥文件的路径。

--cloud-provider-gce-l7lb-src-cidrs cidrs     默认值:130.211.0.0/22,35.191.0.0/16

GCE 防火墙中为 L7 负载均衡流量代理和健康检查开放的 CIDR。

--cloud-provider-gce-lb-src-cidrs cidrs     默认值:130.211.0.0/22,209.85.152.0/22,209.85.204.0/22,35.191.0.0/16

GCE 防火墙中为 L4 负载均衡流量代理和健康检查开放的 CIDR。

--cluster string

要使用的 kubeconfig 中集群的名称。

--context string

要使用的 kubeconfig 上下文的名称。

--default-not-ready-toleration-seconds int     默认值:300

设置针对 notReady:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。

--default-unreachable-toleration-seconds int     默认值:300

设置针对 unreachable:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。

--disable-compression

如果为 true,则对服务器所有请求的响应不再压缩。

--insecure-skip-tls-verify

如果为 true,则不检查服务器证书的有效性。这将使你的 HTTPS 连接不安全。

--kubeconfig string

CLI 请求要使用的 kubeconfig 文件的路径。

--match-server-version

要求服务器版本与客户端版本匹配。

-n, --namespace string

如果存在,则是此 CLI 请求的命名空间范围。

--password string

对 API 服务器进行基本身份验证所用的密码。

--profile string     默认值:"none"

要记录的性能分析信息。可选值为(none|cpu|heap|goroutine|threadcreate|block|mutex)。

--profile-output string     默认值:"profile.pprof"

性能分析信息要写入的目标文件的名称。

--request-timeout string     默认值:"0"

在放弃某个服务器请求之前等待的时长。非零值应包含相应的时间单位(例如 1s、2m、3h)。 值为零表示请求不会超时。

-s, --server string

Kubernetes API 服务器的地址和端口。

--storage-driver-buffer-duration duration     默认值:1m0s

对存储驱动的写入操作将被缓存的时长;缓存的操作会作为一个事务提交给非内存后端。

--storage-driver-db string     默认值:"cadvisor"

数据库名称。

--storage-driver-host string     默认值:"localhost:8086"

数据库 host:port。

--storage-driver-password string     默认值:"root"

数据库密码。

--storage-driver-secure

使用与数据库的安全连接。

--storage-driver-table string     默认值:"stats"

表名。

--storage-driver-user string     默认值:"root"

数据库用户名。

--tls-server-name string

服务器证书验证所用的服务器名称。如果未提供,则使用与服务器通信所用的主机名。

--token string

向 API 服务器进行身份验证的持有者令牌。

--user string

要使用的 kubeconfig 用户的名称。

--username string

对 API 服务器进行基本身份验证时所用的用户名。

--version version[=true]

--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本。

--warnings-as-errors

将从服务器收到的警告视为错误,并以非零退出码退出。

另请参见

3 - kubectl auth whoami

简介

实验性功能:检查你的身份和属性(如所属的组、额外信息等)。

  • 此命令有助于让你了解当前用户属性,尤其是在 Kubernetes 集群中启用动态身份验证(例如令牌 Webhook、身份认证代理或 OIDC 提供程序)时。
kubectl auth whoami

示例

# 获取你的主体属性。
kubectl auth whoami
  
# 以 JSON 格式获取主体属性。
kubectl auth whoami -o json

选项

--allow-missing-template-keys     默认值:true

如果为 true,在模板中字段或映射键缺失时忽略模板中的错误。 仅适用于 golang 和 jsonpath 输出格式。

-h, --help

关于 whoami 的帮助信息。

-o, --output string

输出格式。可选值为: json、yaml、name、go-template、go-template-file、template、templatefile、jsonpath、jsonpath-as-json、jsonpath-file。

--show-managed-fields

如果为 true,在以 JSON 或 YAML 格式打印对象时保留 managedFields。

--template string

当 -o=go-template、-o=go-template-file 时使用的模板字符串或模板文件路径。 模板格式为 golang 模板 [http://golang.org/pkg/text/template/#pkg-overview]。

--as string

操作所用的伪装用户名。用户可以是常规用户或命名空间中的服务账号。

--as-group strings

操作所用的伪装用户组,此标志可以被重复设置以指定多个组。

--as-uid string

操作所用的伪装 UID。

--cache-dir string     默认值:"$HOME/.kube/cache"

默认缓存目录。

--certificate-authority string

证书机构的证书文件的路径。

--client-certificate string

TLS 客户端证书文件的路径。

--client-key string

TLS 客户端密钥文件的路径。

--cloud-provider-gce-l7lb-src-cidrs cidrs     默认值:130.211.0.0/22,35.191.0.0/16

GCE 防火墙中为 L7 负载均衡流量代理和健康检查开放的 CIDR。

--cloud-provider-gce-lb-src-cidrs cidrs     默认值:130.211.0.0/22,209.85.152.0/22,209.85.204.0/22,35.191.0.0/16

GCE 防火墙中为 L4 负载均衡流量代理和健康检查开放的 CIDR。

--cluster string

要使用的 kubeconfig 中集群的名称。

--context string

要使用的 kubeconfig 上下文的名称。

--default-not-ready-toleration-seconds int     默认值:300

设置针对 notReady:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。

--default-unreachable-toleration-seconds int     默认值:300

设置针对 unreachable:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。

--disable-compression

如果为 true,则对服务器所有请求的响应不再压缩。

--insecure-skip-tls-verify

如果为 true,则不检查服务器证书的有效性。这将使你的 HTTPS 连接不安全。

--kubeconfig string

CLI 请求要使用的 kubeconfig 文件的路径。

--match-server-version

要求服务器版本与客户端版本匹配。

-n, --namespace string

如果存在,则是此 CLI 请求的命名空间范围。

--password string

对 API 服务器进行基本身份验证所用的密码。

--profile string     默认值:"none"

要记录的性能分析信息。可选值为(none|cpu|heap|goroutine|threadcreate|block|mutex)。

--profile-output string     默认值:"profile.pprof"

性能分析信息要写入的目标文件的名称。

--request-timeout string     默认值:"0"

在放弃某个服务器请求之前等待的时长。非零值应包含相应的时间单位(例如 1s、2m、3h)。 值为零表示请求不会超时。

-s, --server string

Kubernetes API 服务器的地址和端口。

--storage-driver-buffer-duration duration     默认值:1m0s

对存储驱动的写入操作将被缓存的时长;缓存的操作会作为一个事务提交给非内存后端。

--storage-driver-db string     默认值:"cadvisor"

数据库名称。

--storage-driver-host string     默认值:"localhost:8086"

数据库 host:port。

--storage-driver-password string     默认值:"root"

数据库密码。

--storage-driver-secure

使用与数据库的安全连接。

--storage-driver-table string     默认值:"stats"

表名。

--storage-driver-user string     默认值:"root"

数据库用户名。

--tls-server-name string

服务器证书验证所用的服务器名称。如果未提供,则使用与服务器通信所用的主机名。

--token string

向 API 服务器进行身份验证的持有者令牌。

--user string

要使用的 kubeconfig 用户的名称。

--username string

对 API 服务器进行基本身份验证时所用的用户名。

--version version[=true]

--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本。

--warnings-as-errors

将从服务器收到的警告视为错误,并以非零退出码退出。

另请参见