Роль кластера Kubernetes с разрешениями для просмотра событий - PullRequest
Новая
       6

Роль кластера Kubernetes с разрешениями для просмотра событий

0 голосов
/ 10 марта 2020

Я пытаюсь создать роль кластера с разрешениями для просмотра событий, но мне кажется, что я что-то упускаю.

Я использую следующее: 

apiVersion: v1
kind: ServiceAccount
metadata:
  name: watch-events
  namespace: test
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: watch-events-cluster
rules:
- apiGroups:
  - ""
  resources:
  - events
  verbs:
  - watch
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: watch-events-cluster
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: watch-events-cluster
subjects:
- kind: ServiceAccount
  name: watch-events
  namespace: test

Не важно, что я пробую с kubectl auth can-i watch events --as watch-events Я всегда получаю нет .

Я что-то упускаю?

Ответы [ 2 ]

0 голосов
/ 10 марта 2020

RBA C является правильным и предоставит всему кластеру разрешение на просмотр событий во всех пространствах имен, но команда kubectl неверна. Команда должна быть 

kubectl auth can-i watch events --as=system:serviceaccount:test:watch-events
0 голосов
/ 10 марта 2020

https://kubernetes.io/docs/reference/access-authn-authz/rbac/#service -account-permissions

Политики по умолчанию RBA C предоставляют области действия разрешения для компонентов, узлов и контроллеров плоскости управления, , но предоставляют нет разрешений для учетных записей служб вне пространства имен системы kube (кроме разрешений на обнаружение, предоставленных всем аутентифицированным пользователям).

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...