我可以将一个服务帐户连接到Kubernetes中的多个命名空间吗？_Kubernetes_Openshift_Kubectl_Rbac_Kubernetes Namespace

我可以将一个服务帐户连接到Kubernetes中的多个命名空间吗？

kubernetes openshift

我可以将一个服务帐户连接到Kubernetes中的多个命名空间吗？,kubernetes,openshift,kubectl,rbac,kubernetes-namespace,Kubernetes,Openshift,Kubectl,Rbac,Kubernetes Namespace,我有两个名称空间-假设NS1和NS2。我在NS1中的sa1和NS2中的sa2中创建了服务帐户。我已经为sa1创建了角色和角色索引，以便在NS1和sa2中执行任务。我想要的是给sa1在NS2中的特定访问权限（只说Pod阅读器角色）我想知道这是否可能您只需从RoleBinding中的另一个命名空间引用ServiceAccount即可： apiVersion: rbac.authorization.k8s.io/v1beta1 kind: Role metadata: name: pod-r

我有两个名称空间-假设

NS1

和

NS2

。我在

NS1

中的

sa1

和

NS2

中的

sa2

中创建了服务帐户。我已经为

sa1

创建了角色和角色索引，以便在

NS1

和

sa2

中执行任务。我想要的是给

sa1

在

NS2

中的特定访问权限（只说Pod阅读器角色）

我想知道这是否可能

您只需从RoleBinding中的另一个命名空间引用ServiceAccount即可：

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
  name: pod-reader
  namespace: ns2
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-reader-from-ns1
  namespace: ns2
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pod-reader
subjects:
- kind: ServiceAccount
  name: ns1-service-account
  namespace: ns1

我们能否应用相同的概念在服务[ns1中的节点端口]和入口[ns2中的Aws alb入口控制器]之间进行通信，即：；跨越2个不同的命名空间？@AshishKumar这里您可以使用ExternalName类型的服务。@LLlAMnYP类型的服务可以在指定的同一标签下的多个pod之间分配流量。@Ashish类型ExternalName的服务只不过是群集dns中的CNAME记录。然后，平衡由其指向的服务完成。k8s将删除

roleRef部分中的kind:Role
。您可以在本节中使用名称空间：n2
。