背景
一直以来在内网开发、测试环境的K8S web控制台使用的是rancher面板。
通过使用rancher面板服务,在容器管理上运维、开发、测试人员的工作效率得到了极大的提升
问题
但由于早期仅注重功能实现及用户体验上问题,忽略了权限管理上的问题。给用户开放出去的rancher面板用户均为cluster-owner权限。导致最近一天,突然接到研发人员的通知,说开发环境namespace下的所有工作负载都消失了。通过排查,发现问题时刻所有的node节点都正常运行,dev namespace已不存在,另外两个 test1、test2 namespace下的全部资源均运行正常。因此初步怀疑是人工方式对namespace进行了删除操作,将dev namespace下的全部资源删除(包括secret、sa、configmap、pvc、deployment、svc等)
解决方案
1、首先对环境进行恢复
2、对rancher面板的权限进行加固
* 当前rancher的用户均为全部类型的本地用户,在授权上将本地用户授权给集群
* 创建集群的用户角色Developer
* 对新创建的角色进行授权,新的角色需要继承cluster member和view all projects角色的权限
* 在集群中进行授权
