可以将一个服务帐户连接到Kubernetes中的多个名称空间吗?
我有几个名称空间 - 假设NS1和NS 2我在那些中创建了serviceaccounts - 在NS1中的sa1和在NS2中的sa2我已经为sa1创建了角色和角色绑定来在NS1中执行内容并在NS2中执行sa2。我想要的是在NS2中给予sa1一定的访问权限(比如说只有Pod Reader角色)。
我想知道这是否可能?
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
1
条回答
写回答
-
整合最优质的专家资源和技术资料,问答解疑
您可以在RoleBinding中从另一个命名空间引用ServiceAccount:
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
name: pod-reader
namespace: ns2
rules:- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: pod-reader-from-ns1
namespace: ns2
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: pod-reader
subjects:- kind: ServiceAccount
name: ns1-service-account
namespace: ns1
2019-07-17 23:24:06赞同 展开评论 - apiGroups: [""]
问答分类:
相关问答