标签[k8s-serviceaccount] - 堆栈内存溢出

在 Kube.netes 中，如果我使用未定义命名空间的 serviceaccount 主题创建角色绑定，则使用哪个 sa？ - In Kubernetes if I create a rolebinding with a serviceaccount subject without namespace defined ¿which sa is used?

我可以像这样创建角色绑定主题定义了一个没有命名空间的 ServiceAccount，我们在这个 rolebinding-ns 命名空间中有一个“默认”服务帐户，但我们在其他命名空间中有一些其他“默认”服务帐户，包括系统命名空间，是不同的服务帐户但具有相同的名称问题是。此角色绑定中使用了哪个服务 ...

如何使用 golang 的 kube.netes 服务帐户？ - How to use kubernetes service account with golang?

实际上，我主要将 kube.netes 服务帐户与 NodeJS 一起使用，这工作正常，但我在 Go 中提供了一项服务，但我似乎无法使其与服务帐户一起使用（我知道服务帐户配置正确因为我用 pod 测试过它）。我正在使用这个库https://github.com/aws/aws-sdk-go 到目 ...

Kube.netes Service IP 是如何分配和存储的？ - How is Kubernetes Service IP assigned and stored?

我部署了一个服务myservice到 k8s 集群。使用kubectl describe serivce... ，我可以发现服务 ip 是172.20.127.114我想弄清楚这个服务 ip 是如何分配的。是不是被K8s controller赋值，存储到DNS？ K8S控件是如何决定IP范围 ...

有没有办法检测 K8s 集群中的非活动服务/用户帐户 - Is there a way to detect inactive Service / User Accounts in K8s cluster

我希望能够通过在我的 Kubernetes 集群中使用kubectl / rest api来检测非活动服务帐户和用户帐户。例如一个空闲的服务帐户，它已经有 x 天没有用于任何资源，并且可以安全地删除它。或过去 x 天未访问集群的用户帐户。 ...

如何在 kubernetes 上隐藏特定用户的命名空间 - How to hide a namespace for specific user on kubernetes

我有三个命名空间产品开发者阶段我有两个用户 prod-user：对“prod”命名空间具有完全访问权限，但对“dev”和“stage”没有访问权限 dev-user：对“dev”和“stage”命名空间具有完全访问权限，但对“prod”没有访问权限在“prod-user”上，如果我得到命名空间“ku ...

默认情况下如何将 Deployment/Pod 关联到非默认服务帐户 - How to associate a Deployment/Pod to a non-default service account by default

当我们没有在部署/pod 清单中指定任何服务帐户时，它会与相应命名空间中的“默认”服务帐户相关联。我的问题是，是否可以更改此行为，以便默认情况下，部署/pod 与 pods 命名空间中的自定义服务帐户相关联（无需在每个部署/pod 清单中指定自定义服务帐户）？任何有关实现此目的的文档链接都会 ...

无法在 GKE 上部署 bitnami/rabbitmq Helm Chart，需要创建角色的权限 - Can't deploy bitnami/rabbitmq Helm Chart on GKE, permission to create role is required

介绍：我正在尝试使用我的 Gitlab CI/CD 管道将RabbitMq Helm Chart 部署到 GKE。我用来安装图表的命令是：环境/rabbitmq/rabbitmq.yaml： Gitlab 作业首先使用 gcloud 连接到 GKE 集群：问题：但是he ...

Kubernetes 服务账户为容器中的不同用户访问 AWS S3 - Kubernetes service account to access AWS S3 for different users in the container

我有一个 EKS 部署，其服务帐户具有可访问 S3 的策略和角色。这适用于容器中的 root 帐户。容器可以毫无问题地执行aws s3 cp ... 问题是另一个用户不能。它从 S3 服务获取AccessDenied ，这意味着它没有正确的凭据。所以我的问题是：在这种情况下，如何向容器 ...

无法创建 k8s 仪表板服务帐户 - Cant create k8s dashboard service account

在此处输入图像描述我按照本教程https://github.com/kubernetes/dashboard/blob/master/docs/user/access-control/creating-sample-user.md但是，完成所有步骤后，我在使用时看不到任何帐户kubectl 获取秘 ...

为什么 Pod 中的 K8s 自动挂载服务帐户令牌与直接从服务帐户检索到的令牌不同？ - Why K8s automounted service account token in a pod is different from the token retrieved directly from a service account?

假设我创建了一个服务帐户并检索了与之关联的令牌：kubectl -n myexample describe sa myexample-sa kubectl describe secret myexample-sa-token-xxxxx 令牌的价值：然后，我在部署中创建一个 pod，并将上 ...

错误 kubebootstrap：工人恐慌：ingresses.networking.k8s.io 被禁止：用户无法在 API 组 .networking.k8s.io 中列出资源“ingresses”” - ERROR kubebootstrap: WORKER PANICKED: ingresses.networking.k8s.io is forbidden: User cannot list resource "ingresses" in API group "networking.k8s.io"

我目前在托管 Lucidworks Fusion 的 Amazon EKS 集群中遇到问题。首先，我有一个 Amazon EKS v1.18集群，然后升级到v1.19 ，一切顺利。我还在我的集群中运行了ingress-nginx-3.7.1 ，然后我升级到ingress-nginx-4.0.1 ...

如何编写/使用K8 Python客户端创建新角色，sa & role binding - How to write/use K8 Python client to create a new role, sa & role binding

我目前正在寻找以编程方式管理 Kube.netes 集群 (eks) 的最佳方式。我遇到了一个 python Kube.netes 客户端，我可以在其中加载本地配置，然后创建一个命名空间。我正在运行一个 jenkins 作业，我希望它在其中创建名称空间、角色、角色绑定等。我已经设法创建了命名 ...

通过 WLAN IP 公开在我的 PC localhost 上运行的 kubernetes 服务容器，以启用从另一台 PC 与同一路由器上的两台 PC 的连接 - Exposing kubernetes service container running on my PC localhost via WLAN IP to enable connection from another PC with both PCs on the same router

我有一个 k8s 服务在我的本地 PC 上运行并且工作正常。数据库和服务。一切正常，可以通过我的浏览器和邮递员上的本地主机访问。但是，我希望能够通过同一路由器/互联网上的其他 PC/移动应用程序连接到它。因此，我尝试了端口转发，并且尝试使用netsh interface portproxy ...

如何为命名空间资源配置 ClusterRole - How to configure a ClusterRole for namespaced resources

我想允许命名空间 A 中的 ServiceAccount 访问命名空间 B 中的资源。为此，我通过 ClusterRoleBinding 将 ServiceAccount 连接到 ClusterRole。文档说我可以“使用 ClusterRole [1.] 定义对命名空间资源的权限并在单个命名 ...

如何只为特定用户在k8s中编写psp？ - How to write a psp in k8s only for a specific user?

我们有一个默认命名空间，其中 nginx 服务帐户无权启动 nginx 容器创建 pod 时，使用命令结果，我们得到一个错误据我了解，有必要编写一个允许 nginx-sa 服务帐户运行的 psp 策略，但我不明白如何为特定服务帐户正确编写它 ...

限制对特定服务帐户的 K8s 机密访问 - Restrict access of a K8s secret to a particular service account

我有一个秘密，其中包含非常敏感的信息。我想确保这个秘密只能由某个服务帐户访问，其他任何人都不能访问。使用 RBAC，我可以判断哪个用户可以访问哪些资源。但是有什么方法可以告诉我这个秘密只能由这个用户访问？ ...

为 Kubernetes 修改 ClusterRole - Modify ClusterRole for Kubernetes

我想为我的 Kubernetes 集群（ https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles ）的某些用户使用 ClusterRole编辑。然而，不幸的是，用户可以访问和修改资源配额和限制 ...

k8s挂载服务账号token - k8s mount service account token

赏金将在 6 天后到期。此问题的答案有资格获得+100声望赏金。 JJD正在从有信誉的来源寻找答案。如何安装服务帐户令牌，我们使用的图表不支持它，一个小时后图表失败。 https://kubernetes.io/docs/reference/access-authn-authz/servi ...

无法使用 Kubernetes ServiceAccount 列出或删除 ClusterRole 或 ClusterRoleBinding - Cannot list or delete ClusterRole or ClusterRoleBinding with a Kubernetes ServiceAccount

我想创建一个 Kubernetes CronJob 来删除可能剩余的资源（命名空间、ClusterRole、ClusterRoleBinding）（最初，标准将是“有标签=某事”和“超过 30 分钟”。（每个命名空间包含用于试运行）。我创建了 CronJob、ServiceAccount、Clu ...

对 k8s 应用程序使用 k8s 内部 dns 会导致缩放时出现 http 502 错误 - Using k8s internal dns for k8s apps result in http 502 errors on scaling

我有一个在 k8s 服务 dns 下运行的 k8s 应用程序“alpha”，暴露为 alpha-service.namespace，它被另一个应用程序 - “beta”使用。应用程序“beta”通过服务 dns“alpha-service.namespace”连接到应用程序“alpha”。根据“ ...