kubectl auth can-i
概要
检查操作是否允许。
VERB 是一个逻辑 Kubernetes API 动词,如 'get'、'list'、'watch'、'delete' 等。TYPE 是一个 Kubernetes 资源。快捷方式和组将被解析。NONRESOURCEURL 是一个以 "/" 开头的部分 URL。NAME 是特定 Kubernetes 资源的名称。此命令与模拟很好地配对。请参阅 --as 全局标志。
kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL]
示例
# Check to see if I can create pods in any namespace
kubectl auth can-i create pods --all-namespaces
# Check to see if I can list deployments in my current namespace
kubectl auth can-i list deployments.apps
# Check to see if service account "foo" of namespace "dev" can list pods
# in the namespace "prod".
# You must be allowed to use impersonation for the global option "--as".
kubectl auth can-i list pods --as=system:serviceaccount:dev:foo -n prod
# Check to see if I can do everything in my current namespace ("*" means all)
kubectl auth can-i '*' '*'
# Check to see if I can get the job named "bar" in namespace "foo"
kubectl auth can-i list jobs.batch/bar -n foo
# Check to see if I can read pod logs
kubectl auth can-i get pods --subresource=log
# Check to see if I can access the URL /logs/
kubectl auth can-i get /logs/
# List all allowed actions in namespace "foo"
kubectl auth can-i --list --namespace=foo
选项
| -A, --all-namespaces | |
如果为真,则检查所有命名空间中的指定操作。 | |
| -h, --help | |
can-i 的帮助 | |
| --list | |
如果为真,则打印所有允许的操作。 | |
| --no-headers | |
如果为真,则打印允许的操作,不带标题 | |
| -q, --quiet | |
如果为真,则抑制输出,只返回退出代码。 | |
| --subresource string | |
子资源,如 pod/log 或 deployment/scale | |
| --as string | |
要模拟操作的用户名。用户可以是普通用户或命名空间中的服务帐户。 | |
| --as-group strings | |
要模拟操作的组,此标志可以重复以指定多个组。 | |
| --as-uid string | |
要模拟操作的 UID。 | |
| --cache-dir string 默认值: "$HOME/.kube/cache" | |
默认缓存目录 | |
| --certificate-authority string | |
证书颁发机构证书文件的路径 | |
| --client-certificate string | |
用于 TLS 的客户端证书文件的路径 | |
| --client-key string | |
用于 TLS 的客户端密钥文件的路径 | |
| --cloud-provider-gce-l7lb-src-cidrs cidrs 默认值: 130.211.0.0/22,35.191.0.0/16 | |
在 GCE 防火墙中为 L7 LB 流量代理和健康检查打开的 CIDR | |
| --cloud-provider-gce-lb-src-cidrs cidrs 默认值: 130.211.0.0/22,209.85.152.0/22,209.85.204.0/22,35.191.0.0/16 | |
在 GCE 防火墙中为 L4 LB 流量代理和健康检查打开的 CIDR | |
| --cluster string | |
要使用的 kubeconfig 集群的名称 | |
| --context string | |
要使用的 kubeconfig 上下文的名称 | |
| --default-not-ready-toleration-seconds int 默认值: 300 | |
指示默认添加到每个尚未具有此类容忍度的 pod 的 notReady:NoExecute 容忍度的 tolerationSeconds。 | |
| --default-unreachable-toleration-seconds int 默认值: 300 | |
指示默认添加到每个尚未具有此类容忍度的 pod 的 unreachable:NoExecute 容忍度的 tolerationSeconds。 | |
| --disable-compression | |
如果为真,则选择退出对所有服务器请求的响应压缩 | |
| --insecure-skip-tls-verify | |
如果为真,则不会检查服务器证书的有效性。这将使您的 HTTPS 连接不安全 | |
| --kubeconfig string | |
用于 CLI 请求的 kubeconfig 文件的路径。 | |
| --match-server-version | |
要求服务器版本与客户端版本匹配 | |
| -n, --namespace string | |
如果存在,则为该 CLI 请求的命名空间范围 | |
| --password string | |
用于对 API 服务器进行基本身份验证的密码 | |
| --profile string 默认值: "none" | |
要捕获的配置文件的名称。其中之一 (none|cpu|heap|goroutine|threadcreate|block|mutex) | |
| --profile-output string 默认值: "profile.pprof" | |
要写入配置文件的名称 | |
| --request-timeout string 默认值: "0" | |
在放弃单个服务器请求之前等待的时间长度。非零值应包含相应的单位 (例如 1s、2m、3h)。值为零表示不超时请求。 | |
| -s, --server string | |
Kubernetes API 服务器的地址和端口 | |
| --storage-driver-buffer-duration duration 默认值: 1m0s | |
存储驱动程序中的写入将被缓冲此持续时间,并作为单个事务提交到非内存后端 | |
| --storage-driver-db string 默认值: "cadvisor" | |
数据库名称 | |
| --storage-driver-host string 默认值: "localhost:8086" | |
数据库主机:端口 | |
| --storage-driver-password string 默认值: "root" | |
数据库密码 | |
| --storage-driver-secure | |
使用与数据库的安全连接 | |
| --storage-driver-table string 默认值: "stats" | |
表名 | |
| --storage-driver-user string 默认值: "root" | |
数据库用户名 | |
| --tls-server-name string | |
用于服务器证书验证的服务器名称。如果未提供,则使用用于联系服务器的主机名 | |
| --token string | |
用于对 API 服务器进行身份验证的承载令牌 | |
| --user string | |
要使用的 kubeconfig 用户的名称 | |
| --username string | |
用于对 API 服务器进行基本身份验证的用户名 | |
| --version version[=true] | |
--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本 | |
| --warnings-as-errors | |
将从服务器接收到的警告视为错误,并以非零退出代码退出 | |
另请参阅
- kubectl auth - 检查授权
此页面是自动生成的。
如果您打算报告此页面的问题,请在您的问题描述中提及该页面是自动生成的。修复可能需要在 Kubernetes 项目中的其他地方进行。