动态资源分配(DRA)增加了强大的调度和设备管理功能。
由于 DRA 组件会更新 ResourceClaim 状态,集群管理员应使用明确的最小权限 RBAC
来配置这些更新的授权。
Kubernetes v1.36 [beta](默认启用)从 Kubernetes v1.36 开始,DRA 状态更新使用合成子资源, 在某些情况下还使用专门的节点感知动词。
对于 DRA 状态更新,除了在 resourceclaims/status 子资源上授予 update 权限外,
集群管理员还必须根据组件需要修改的精确字段授予特定“合成”子资源的权限。
这在调度器、自定义控制器和 DRA 驱动程序之间强制执行最小权限原则。
DRA 授权检查分为两个合成子资源:
resourceclaims/bindingstatus.allocation 和 status.reservedFor 所需。update 和 patch 动词。resourceclaims/driverstatus.devices 所需。在授权更新 resourceclaims/driver 时,使用适当的专门动词前缀:
associated-node:<verb>(例如 associated-node:update)arbitrary-node:<verb>(例如 arbitrary-node:patch)apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: dra-binding-updater
rules:
- apiGroups: ["resource.k8s.io"]
resources: ["resourceclaims/status"]
verbs: ["get", "patch", "update"]
- apiGroups: ["resource.k8s.io"]
resources: ["resourceclaims/binding"]
verbs: ["patch", "update"]
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: dra-node-driver-status-updater
rules:
- apiGroups: ["resource.k8s.io"]
resources: ["resourceclaims/status"]
verbs: ["get", "patch", "update"]
- apiGroups: ["resource.k8s.io"]
resources: ["resourceclaims/driver"]
verbs: ["associated-node:patch", "associated-node:update"]
resourceNames: ["dra.example.com"]
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: dra-multinode-status-updater
rules:
- apiGroups: ["resource.k8s.io"]
resources: ["resourceclaims/status"]
verbs: ["get", "patch", "update"]
- apiGroups: ["resource.k8s.io"]
resources: ["resourceclaims/driver"]
verbs: ["arbitrary-node:patch", "arbitrary-node:update"]
resourceNames: ["dra.example.com"]
要在运行的集群中应用这些模式,请参阅 在集群中强化动态资源分配。