使用RBAC访问kubernetes的单舱
使用RBAC访问kubernetes的单舱
提问于 2020-07-23 13:09:46
我只想使用kubectl远程访问一个吊舱,所以按照这里的指示进行操作。
为此,我在kubernetes中创建了一个access.yml文件:
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: devops-user
namespace: default
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: devops-user-limited-access
namespace: default
rules:
- apiGroups: ["", "extensions", "apps"]
resources: ["*"]
verbs: ["*"]
---
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: devops-user-view
namespace: default
subjects:
- kind: ServiceAccount
name: devops-user
namespace: default
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: devops-user-limited-access在我的远程笔记本电脑中,我在~/.kube/config中创建了一个文件,如下所示:
apiVersion: v1
kind: Config
preferences: {}
# Define the cluster
clusters:
- cluster:
certificate-authority-data: <my-ca.crt>
# You'll need the API endpoint of your Cluster here:
server: https://<server-ip>:6443
name: kubernetes
# Define the user
users:
- name: devops-user
user:
as-user-extra: {}
client-key-data: <my-ca.crt>
token: <token-created-by-k8s>
# Define the context: linking a user to a cluster
contexts:
- context:
cluster: kubernetes
namespace: default
user: devops-user
name: default
# Define current context
current-context: default现在我可以“完全访问”到“所有吊舱”,但这不是我想要的。我只想要:
我要“完全进入”到“一个舱”。
回答 2
Stack Overflow用户
发布于 2020-07-23 13:13:10
只需将其添加到您的角色文件中即可。
resourceNames: ["POD_NAME"]所以你的角色yaml文件应该是这样的
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
name: devops-user-limited-access
namespace: default
rules:
- apiGroups: ["", "extensions", "apps"]
resources: ["pods", "pods/log"]
resourceNames: ["POD_NAME"] <-------------------------------here
verbs: ["get", "list"]页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/63055069
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号