Question

У меня есть пара пространств имен - предположим, NS1 и NS2.У меня есть сервисные учетные записи, созданные в них - sa1 в NS1 и sa2 в NS2.Я создал роли и привязки к ролям для sa1, чтобы делать вещи в NS1 и sa2 в NS2.Я хочу дать sa1 определенный доступ в NS2 (скажем, только роль читателя Pod).

Мне интересно, возможно ли это или нет?

Robert Panzer · Answer 1 · 28 декабря 2018

Вы можете просто ссылаться на ServiceAccount из другого пространства имен в RoleBinding:

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
  name: pod-reader
  namespace: ns2
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-reader-from-ns1
  namespace: ns2
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pod-reader
subjects:
- kind: ServiceAccount
  name: ns1-service-account
  namespace: ns1

Могу ли я подключить одну учетную запись службы к нескольким пространствам имен в Kubernetes?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Могу ли я подключить одну учетную запись службы к нескольким пространствам имен в Kubernetes?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы