我可以像这样创建角色绑定 主题定义了一个没有命名空间的 ServiceAccount,我们在这个 rolebinding-ns 命名空间中有一个“默认”服务帐户,但我们在其他命名空间中有一些其他“默认”服务帐户,包括系统命名空间,是不同的服务帐户但具有相同的名称问题是。 此角色绑定中使用了哪个服务 ...
我可以像这样创建角色绑定 主题定义了一个没有命名空间的 ServiceAccount,我们在这个 rolebinding-ns 命名空间中有一个“默认”服务帐户,但我们在其他命名空间中有一些其他“默认”服务帐户,包括系统命名空间,是不同的服务帐户但具有相同的名称问题是。 此角色绑定中使用了哪个服务 ...
实际上,我主要将 kube.netes 服务帐户与 NodeJS 一起使用,这工作正常,但我在 Go 中提供了一项服务,但我似乎无法使其与服务帐户一起使用(我知道服务帐户配置正确因为我用 pod 测试过它)。 我正在使用这个库https://github.com/aws/aws-sdk-go 到目 ...
我部署了一个服务myservice到 k8s 集群。 使用kubectl describe serivce... ,我可以发现服务 ip 是172.20.127.114我想弄清楚这个服务 ip 是如何分配的。 是不是被K8s controller赋值,存储到DNS? K8S控件是如何决定IP范围 ...
我希望能够通过在我的 Kubernetes 集群中使用kubectl / rest api来检测非活动服务帐户和用户帐户。 例如一个空闲的服务帐户,它已经有 x 天没有用于任何资源,并且可以安全地删除它。 或过去 x 天未访问集群的用户帐户。 ...
我有三个命名空间产品开发者阶段我有两个用户 prod-user:对“prod”命名空间具有完全访问权限,但对“dev”和“stage”没有访问权限 dev-user:对“dev”和“stage”命名空间具有完全访问权限,但对“prod”没有访问权限在“prod-user”上,如果我得到命名空间“ku ...
当我们没有在部署/pod 清单中指定任何服务帐户时,它会与相应命名空间中的“默认”服务帐户相关联。 我的问题是,是否可以更改此行为,以便默认情况下,部署/pod 与 pods 命名空间中的自定义服务帐户相关联(无需在每个部署/pod 清单中指定自定义服务帐户)? 任何有关实现此目的的文档链接都会 ...
介绍 : 我正在尝试使用我的 Gitlab CI/CD 管道将RabbitMq Helm Chart 部署到 GKE。 我用来安装图表的命令是: 环境/rabbitmq/rabbitmq.yaml: Gitlab 作业首先使用 gcloud 连接到 GKE 集群: 问题: 但是he ...
我有一个 EKS 部署,其服务帐户具有可访问 S3 的策略和角色。 这适用于容器中的 root 帐户。 容器可以毫无问题地执行aws s3 cp ... 问题是另一个用户不能。 它从 S3 服务获取AccessDenied ,这意味着它没有正确的凭据。 所以我的问题是:在这种情况下,如何向容器 ...
在此处输入图像描述 我按照本教程https://github.com/kubernetes/dashboard/blob/master/docs/user/access-control/creating-sample-user.md但是,完成所有步骤后,我在使用时看不到任何帐户kubectl 获取秘 ...
假设我创建了一个服务帐户并检索了与之关联的令牌:kubectl -n myexample describe sa myexample-sa kubectl describe secret myexample-sa-token-xxxxx 令牌的价值: 然后,我在部署中创建一个 pod,并将上 ...
我目前在托管 Lucidworks Fusion 的 Amazon EKS 集群中遇到问题。 首先,我有一个 Amazon EKS v1.18集群,然后升级到v1.19 ,一切顺利。 我还在我的集群中运行了ingress-nginx-3.7.1 ,然后我升级到ingress-nginx-4.0.1 ...
我目前正在寻找以编程方式管理 Kube.netes 集群 (eks) 的最佳方式。 我遇到了一个 python Kube.netes 客户端,我可以在其中加载本地配置,然后创建一个命名空间。 我正在运行一个 jenkins 作业,我希望它在其中创建名称空间、角色、角色绑定等。 我已经设法创建了命名 ...
我有一个 k8s 服务在我的本地 PC 上运行并且工作正常。 数据库和服务。 一切正常,可以通过我的浏览器和邮递员上的本地主机访问。 但是,我希望能够通过同一路由器/互联网上的其他 PC/移动应用程序连接到它。 因此,我尝试了端口转发,并且尝试使用netsh interface portproxy ...
我想允许命名空间 A 中的 ServiceAccount 访问命名空间 B 中的资源。为此,我通过 ClusterRoleBinding 将 ServiceAccount 连接到 ClusterRole。 文档说我可以“使用 ClusterRole [1.] 定义对命名空间资源的权限并在单个命名 ...
我们有一个默认命名空间,其中 nginx 服务帐户无权启动 nginx 容器创建 pod 时,使用命令 结果,我们得到一个错误 据我了解,有必要编写一个允许 nginx-sa 服务帐户运行的 psp 策略,但我不明白如何为特定服务帐户正确编写它 ...
我有一个秘密,其中包含非常敏感的信息。 我想确保这个秘密只能由某个服务帐户访问,其他任何人都不能访问。 使用 RBAC,我可以判断哪个用户可以访问哪些资源。 但是有什么方法可以告诉我这个秘密只能由这个用户访问? ...
我想为我的 Kubernetes 集群( https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles )的某些用户使用 ClusterRole编辑。 然而,不幸的是,用户可以访问和修改资源配额和限制 ...
赏金将在 6 天后到期。 此问题的答案有资格获得+100声望赏金。 JJD正在从有信誉的来源寻找答案。 如何安装服务帐户令牌,我们使用的图表不支持它,一个小时后图表失败。 https://kubernetes.io/docs/reference/access-authn-authz/servi ...
我想创建一个 Kubernetes CronJob 来删除可能剩余的资源(命名空间、ClusterRole、ClusterRoleBinding)(最初,标准将是“有标签=某事”和“超过 30 分钟”。(每个命名空间包含用于试运行)。 我创建了 CronJob、ServiceAccount、Clu ...
我有一个在 k8s 服务 dns 下运行的 k8s 应用程序“alpha”,暴露为 alpha-service.namespace,它被另一个应用程序 - “beta”使用。 应用程序“beta”通过服务 dns“alpha-service.namespace”连接到应用程序“alpha”。 根据“ ...