kubectl auth reconcile
简介
调和 RBAC 角色、角色绑定、集群角色和集群角色绑定对象的规则。
- 如果需要,将创建缺失的对象,同时对于命名空间作用域的对象,其所归属的命名空间也会被创建。
- 现有角色将被更新以包含输入对象中的权限,如果指定了
--remove-extra-permissions,则额外的权限会被删除。 - 现有绑定将被更新以包含输入对象中的主体,如果指定了
--remove-extra-subjects,则额外的主体会被删除。 - 对于 RBAC 资源,这种操作比
apply更可取,因为能够对规则和主体作语义感知的合并。
kubectl auth reconcile -f FILENAME
示例
# 调和某文件中的 RBAC 资源
kubectl auth reconcile -f my-rbac-rules.yaml
选项
| --allow-missing-template-keys 默认值:true | |
如果为 true,在模板中字段或映射键缺失时忽略模板中的错误。 仅适用于 golang 和 jsonpath 输出格式。 | |
| --dry-run string[="unchanged"] 默认值:"none" | |
必须是 "none"、"server" 或 "client"。如果是 client 策略,仅打印将要发送的对象,而不实际发送。 如果是 server 策略,提交服务器端请求而不持久化资源。 | |
| -f, --filename strings | |
包含要被调和的资源的文件名、目录或文件 URL 列表。 | |
| -h, --help | |
关于 reconcile 的帮助信息。 | |
| -k, --kustomize string | |
处理 kustomization 目录。此标志不能与 -f 或 -R 一起使用。 | |
| -o, --output string | |
输出格式。可选值为: json、yaml、name、go-template、go-template-file、template、templatefile、jsonpath、jsonpath-as-json、jsonpath-file。 | |
| -R, --recursive | |
递归处理在 -f、--filename 中给出的目录。当你想要管理位于同一目录中的相关清单时很有用。 | |
| --remove-extra-permissions | |
如果为真,则删除之前添加到角色的额外权限。 | |
| --remove-extra-subjects | |
如果为真,则删除之前添加到角色绑定上的额外主体。 | |
| --show-managed-fields | |
如果为 true,在以 JSON 或 YAML 格式打印对象时保留 managedFields。 | |
| --template string | |
当 -o=go-template、-o=go-template-file 时使用的模板字符串或模板文件路径。 模板格式为 golang 模板 [http://golang.org/pkg/text/template/#pkg-overview]。 | |
| --as string | |
操作所用的伪装用户名。用户可以是常规用户或命名空间中的服务账号。 | |
| --as-group strings | |
操作所用的伪装用户组,此标志可以被重复设置以指定多个组。 | |
| --as-uid string | |
操作所用的伪装 UID。 | |
| --cache-dir string 默认值:"$HOME/.kube/cache" | |
默认缓存目录。 | |
| --certificate-authority string | |
证书机构的证书文件的路径。 | |
| --client-certificate string | |
TLS 客户端证书文件的路径。 | |
| --client-key string | |
TLS 客户端密钥文件的路径。 | |
| --cluster string | |
要使用的 kubeconfig 中集群的名称。 | |
| --context string | |
要使用的 kubeconfig 上下文的名称。 | |
| --default-not-ready-toleration-seconds int 默认值:300 | |
设置针对 notReady:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。 | |
| --default-unreachable-toleration-seconds int 默认值:300 | |
设置针对 unreachable:NoExecute 的容忍度的 tolerationSeconds,默认添加到所有尚未设置此容忍度的 Pod。 | |
| --disable-compression | |
如果为 true,则对服务器所有请求的响应不再压缩。 | |
| --insecure-skip-tls-verify | |
如果为 true,则不检查服务器证书的有效性。这将使你的 HTTPS 连接不安全。 | |
| --kubeconfig string | |
CLI 请求要使用的 kubeconfig 文件的路径。 | |
| --match-server-version | |
要求服务器版本与客户端版本匹配。 | |
| -n, --namespace string | |
如果存在,则是此 CLI 请求的命名空间范围。 | |
| --password string | |
对 API 服务器进行基本身份验证所用的密码。 | |
| --profile string 默认值:"none" | |
要记录的性能分析信息。可选值为(none|cpu|heap|goroutine|threadcreate|block|mutex)。 | |
| --profile-output string 默认值:"profile.pprof" | |
性能分析信息要写入的目标文件的名称。 | |
| --request-timeout string 默认值:"0" | |
在放弃某个服务器请求之前等待的时长。非零值应包含相应的时间单位(例如 1s、2m、3h)。 值为零表示请求不会超时。 | |
| -s, --server string | |
Kubernetes API 服务器的地址和端口。 | |
| --storage-driver-buffer-duration duration 默认值:1m0s | |
对存储驱动的写入操作将被缓存的时长;缓存的操作会作为一个事务提交给非内存后端。 | |
| --storage-driver-db string 默认值:"cadvisor" | |
数据库名称。 | |
| --storage-driver-host string 默认值:"localhost:8086" | |
数据库 host:port。 | |
| --storage-driver-password string 默认值:"root" | |
数据库密码。 | |
| --storage-driver-secure | |
使用与数据库的安全连接。 | |
| --storage-driver-table string 默认值:"stats" | |
表名。 | |
| --storage-driver-user string 默认值:"root" | |
数据库用户名。 | |
| --tls-server-name string | |
服务器证书验证所用的服务器名称。如果未提供,则使用与服务器通信所用的主机名。 | |
| --token string | |
向 API 服务器进行身份验证的持有者令牌。 | |
| --user string | |
要使用的 kubeconfig 用户的名称。 | |
| --username string | |
对 API 服务器进行基本身份验证时所用的用户名。 | |
| --version version[=true] | |
--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本。 | |
| --warnings-as-errors | |
将从服务器收到的警告视为错误,并以非零退出码退出。 | |
另请参见
- kubectl auth - 检视授权情况