那些遇到过的问题

具有资源名称和列表对象的 Kubernetes RBAC 角色

kgu*_*kar 2 kubernetes 

apiVersion: rbac.authorization.k8s.io/v1                                                                                                                    
kind: Role                                                                                                                                                  
metadata:                                                                                                                                                   
  name: p-viewer-role                                                                                                                  
  namespace: pepsi                                                                                                                                  
rules:                                                                                                                                                      
- apiGroups:                                                                                                                                                
  - ""                                                                                                                                    
  resourceNames:                                                                                                                                            
  - p83                                                                                                                                                     
  resources:                                                                                                                                                
  - pods                                                                                                                                                
  verbs:                                                                                                                                                    
  - list                                                                                                                                                    
  - get                                                                                                                                                     
  - watch
Run Code Online (Sandbox Code Playgroud)

当我们在角色中使用 resourceNames 时,以下命令有效

kubectl get pods -n pepsi p83
Run Code Online (Sandbox Code Playgroud)

返回一个适当的值。然而,

kubectl get pods -n pepsi
Run Code Online (Sandbox Code Playgroud)

禁止退货。为什么不列出 p83

角色绑定

apiVersion: rbac.authorization.k8s.io/v1                                                                                                                    
kind: RoleBinding                                                                                                                                           
metadata:                                                                                                                                                   
  name: p-viewer-rolebinding                                                                                                          
  namespace: pepsi                                                                                                                                  
roleRef:                                                                                                                                                    
  apiGroup: rbac.authorization.k8s.io                                                                                                                       
  kind: Role                                                                                                                                                
  name: p-viewer-role                                                                                                                  
subjects:                                                                                                                                                   
- apiGroup: rbac.authorization.k8s.io                                                                                                                       
  kind: Group                                                                                                                                               
  name: pepsi-project-viewer                                                                                                                    
  namespace: project
Run Code Online (Sandbox Code Playgroud)

Arg*_*dhu 6

这是预期的行为。您已经定义了一个role范围为namespace百事可乐 to pod resourceswith specific resourceName p83.

要使kubectl get pods -n peps命令起作用,您需要resourceNames p83Role

这种高级验证最好由OPA处理,您可以在其中定义细粒度策略。

归档时间:

查看次数:

523 次

最近记录:

4 年,1 月 前
相关归档
Kubernetes -env 和 -envFrom 环境变量设置 10
Kubernetes 仪表板令牌将在一小时后过期。如何长期创建token 10
nginx中的动态proxy_pass到Kubernetes中的另一个pod 9
如何在 Kubernetes 中对大量非活动 Pod 有效地使用 CPU? 8
仅当 Kubernetes 命名空间为空时才删除它? 6
如何修复:digital-ocean 上 nginx-ingress 的 IP 地址为空 5
AWS NLB 的基于 IP 的目标类型与基于实例的目标类型之间的实际区别是什么? 5
如何访问在另一个命名空间中创建的服务 3
Kubernetes头盔-将运行头盔安装在运行的吊舱中 1
如何让 Kubernetes pod 运行本地脚本 1
难疑归档
如何解决Git中的合并冲突 4600
在Python中调用外部命令 4553
Python有一个字符串'contains'子串方法吗? 3601
在Python中查找包含它的列表的项目的索引 2887
浮点数学是否破碎? 2798
如何在Vim中进行不区分大小写的搜索 1579
如何使用Bash将stdout和stderr重定向并附加到文件中? 1440
在C#中调用基础构造函数 1398
在Python中将整数转换为字符串? 1282
application/x-www-form-urlencoded或multipart/form-data? 1268