我可以将一个服务帐户连接到Kubernetes中的多个命名空间吗?
我有两个名称空间-假设我可以将一个服务帐户连接到Kubernetes中的多个命名空间吗?,kubernetes,openshift,kubectl,rbac,kubernetes-namespace,Kubernetes,Openshift,Kubectl,Rbac,Kubernetes Namespace,我有两个名称空间-假设NS1和NS2。我在NS1中的sa1和NS2中的sa2中创建了服务帐户。我已经为sa1创建了角色和角色索引,以便在NS1和sa2中执行任务。 我想要的是给sa1在NS2中的特定访问权限(只说Pod阅读器角色) 我想知道这是否可能 您只需从RoleBinding中的另一个命名空间引用ServiceAccount即可: apiVersion: rbac.authorization.k8s.io/v1beta1 kind: Role metadata: name: pod-r
NS1
和NS2
。我在NS1
中的sa1
和NS2
中的sa2
中创建了服务帐户。我已经为sa1
创建了角色和角色索引,以便在NS1
和sa2
中执行任务。
我想要的是给sa1
在NS2
中的特定访问权限(只说Pod阅读器角色)
我想知道这是否可能 您只需从RoleBinding中的另一个命名空间引用ServiceAccount即可:
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
name: pod-reader
namespace: ns2
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: pod-reader-from-ns1
namespace: ns2
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: pod-reader
subjects:
- kind: ServiceAccount
name: ns1-service-account
namespace: ns1
我们能否应用相同的概念在服务[ns1中的节点端口]和入口[ns2中的Aws alb入口控制器]之间进行通信,即:;跨越2个不同的命名空间?@AshishKumar这里您可以使用ExternalName类型的服务。@LLlAMnYP类型的服务可以在指定的同一标签下的多个pod之间分配流量。@Ashish类型ExternalName的服务只不过是群集dns中的CNAME记录。然后,平衡由其指向的服务完成。k8s将删除
roleRef部分中的kind:Role
。您可以在本节中使用名称空间:n2
。