那些遇到过的问题

如何提供对服务帐户的访问权限以读取多个命名空间中的 pod?

not*_*low 2 rbac kubernetes kubectl

我将讨论 Kubernetes 中的 RBAC。在我看来

  • ServiceAccount 可以绑定到命名空间(或)内的角色
  • ServiceAccount 可以绑定到 ClusterRole 并具有集群范围的访问权限(所有命名空间?)

单个服务帐户(或用户)是否可以不具有集群范围的访问权限,而只能在命名空间的子集中具有只读访问权限?如果是这样,有人可以详细说明如何实现这一目标。谢谢!

Luk*_*ler 7

您需要为 ServiceAccount 应有权访问的每个命名空间中的每个命名空间创建 RoleBinding。

有一个示例,授予默认 ServiceAccount 读取development命名空间中 pod 的权限。

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-secrets
  namespace: development # This only grants permissions within the "development" namespace.
subjects:
- kind: ServiceAccount
  name: default
  namespace: kube-system
roleRef:
  kind: Role
  name: pod-reader 
  apiGroup: rbac.authorization.k8s.io
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

4928 次

最近记录:

6 年,6 月 前
相关归档
如何在helm的子图表中为kubernetes引用模板中定义的值? 20
将长配置文件传递给 Kubernetes 8
为什么 Kubernetes 集群中有这么多证书? 8
用于 Kubernetes 部署 (EKS) 的 Jenkins 插件 7
将当前日期传递给 kubernetes cronjob 5
如何在kubernetes环境中使用spark配置beam python sdk 5
Argo 工作流始终使用默认服务帐户 3
此计算机未在 minikube 上启用 VT-X/AMD-v - Windows 10 3
如何将所有kubernetes对象包含到一个文件中 1
如何使用“controller.nodeSelector”选项将 nginx-ingress 控制器部署到 kubernetes 主节点? 0
难疑归档
可以在JSON中使用注释吗? 7104
如何在JavaScript中获取当前日期? 2152
使用pip升级所有包 1859
为什么在C++中读取stdin的行比Python要慢得多? 1738
何时使用虚拟析构函数? 1420
你怎么读斯坦丁? 1389
如何将字节数组转换为十六进制字符串,反之亦然? 1313
哪个MySQL数据类型用于存储布尔值 1168
你如何重命名Git标签? 1162
JavaScript中是否有常量? 1118