Поле apiGroup Kubernetes RBAC в RoleBinding и ClusterRoleBinding

Question

Почему нам нужно снова и снова записывать ключ apiGroup в этом определении, если он каждый раз один и тот же:

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: web-rw-deployment
 namespace: some-web-app-ns
subjects:
- kind: User
 name: "joesmith@example.com"
 apiGroup: rbac.authorization.k8s.io
- kind: Group
 name: "webdevs"
 apiGroup: rbac.authorization.k8s.io
roleRef:
 kind: Role
 name: web-rw-deployment
 apiGroup: rbac.authorization.k8s.io

• это выглядит таким избыточным, что повторяется для всего
• если нам нужно записать это, каковы другие значения
• , если нет других значений для поля RBAC apiGroup, тогда k8s должно автоматически принять это значение apiGroup: rbac.authorization.k8s.io

это делает yaml слишком избыточным, есть ли способ обойти это.мы можем просто пропустить этот ключ?ИЛИ мы можем объявить это где-нибудь на глобальном уровне.

Answer 1

Хороший вопрос.Обоснование, которое я могу придумать, состоит в том, что в будущем могут появиться различные API, которые могут поддерживаться, например, rbacv2.authorization.k8s.io, и вы не хотели бы ограничивать ссылки и темы только одним из соображений совместимости.

Мое предположение заключается в том, что было бы неплохо иметь еще одно необязательное глобальное поле для RoleBinding, кроме «субъектов», называемых чем-то вроде «bindingApigroup».Не стесняйтесь открывать вопрос : вид / функция, sig / auth и / или sig / api-machinery.

Кроме того, в sig может быть больше причин / подробностей-auth проектные предложения.