Моя цель - создать роль Kubernetes, чтобы ограничить доступ kubectl exe c к модулям при указанном c развертывании. У меня есть политика, построенная ниже, которая успешно создает роль, когда все количество и имена моих модулей указаны как * c. Проблема заключается в том, что мое развертывание автоматически масштабируется по горизонтали, поэтому, если создается новый модуль, то роль не будет применяться к этому новому модулю (поскольку каждое имя модуля явно определено в роли), и к новому модулю будет добавлен случайный ха sh. к его имени.
Формат ниже в Terraform, но имеет ту же структуру высокого уровня, что и роль, определенная в yaml
resource kubernetes_cluster_role alb_exec_role {
metadata {
name = "alb-exec-role"
}
rule {
api_groups = [""]
resources = ["pods", "pods/log"]
resource_names = [<pod names>]
verbs = ["get", "list"]
}
rule {
api_groups = [""]
resources = ["pods/exec"]
resource_names = [<pod names>]
verbs = ["create"]
}
}