Question

Я следую руководству , чтобы настроить идентификатор рабочей нагрузки GCP и настроить его на учетную запись службы, настроенную для пространства имен Kubernetes по умолчанию, как показано ниже:

gcloud iam service-accounts add-iam-policy-binding \
  --role roles/iam.workloadIdentityUser \
  --member "serviceAccount:[PROJECT_ID].svc.id.goog[default/[KSA_NAME]]" \
  [GSA_NAME]@[PROJECT_ID].iam.gserviceaccount.com

Мне интересно если есть способ создать привязку для всех пространств имен k8s; что-то вроде ниже, где я заменил пространство имен по умолчанию на *:

--member "serviceAccount:[PROJECT_ID].svc.id.goog[*/[KSA_NAME]]"

Есть ли способ сделать это?

Victor_Torres · Answer 1 · 15 января 2020

Невозможно установить для всех пространств имен учетную запись службы Kubernetes (KSA). Возможно, вам придется получить каждое пространство имен и выполнить привязку для каждого пространства имен, сценарий автоматизации может помочь в этом процессе n раз (1 раз для каждого пространства имен).

Вы можете получить только имя столбца пространств имен используя следующую команду kubectl:

kubectl get ns --all-namespaces --no-headers -o custom-columns=":metadata.name"

Получение чего-то вроде этого:

default
kube-public
kube-system

Что может быть использовано для их итерации с помощью сценария автоматизации привязки.

Учетная запись службы идентификации рабочей нагрузки GKE для всех пространств имен

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Учетная запись службы идентификации рабочей нагрузки GKE для всех пространств имен

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы