在 Kube.netes 中,如果我使用未定義命名空間的 serviceaccount 主題創建角色綁定,則使用哪個 sa?
[英]In Kubernetes if I create a rolebinding with a serviceaccount subject without namespace defined ¿which sa is used?
我可以像這樣創建角色綁定 主題定義了一個沒有命名空間的 ServiceAccount,我們在這個 rolebinding-ns 命名空間中有一個“默認”服務帳戶,但我們在其他命名空間中有一些其他“默認”服務帳戶,包括系統命名空間,是不同的服務帳戶但具有相同的名稱問題是。 此角色綁定中使用了哪個服務 ...
如何使用 golang 的 kube.netes 服務帳戶?
[英]How to use kubernetes service account with golang?
實際上,我主要將 kube.netes 服務帳戶與 NodeJS 一起使用,這工作正常,但我在 Go 中提供了一項服務,但我似乎無法使其與服務帳戶一起使用(我知道服務帳戶配置正確因為我用 pod 測試過它)。 我正在使用這個庫https://github.com/aws/aws-sdk-go 到目 ...
Kube.netes Service IP 是如何分配和存儲的?
[英]How is Kubernetes Service IP assigned and stored?
我部署了一個服務myservice到 k8s 集群。 使用kubectl describe serivce... ,我可以發現服務 ip 是172.20.127.114我想弄清楚這個服務 ip 是如何分配的。 是不是被K8s controller賦值,存儲到DNS? K8S控件是如何決定IP范圍 ...
有沒有辦法檢測 K8s 集群中的非活動服務/用戶帳戶
[英]Is there a way to detect inactive Service / User Accounts in K8s cluster
我希望能夠通過在我的 Kubernetes 集群中使用kubectl / rest api來檢測非活動服務帳戶和用戶帳戶。 例如一個空閑的服務帳戶,它已經有 x 天沒有用於任何資源,並且可以安全地刪除它。 或過去 x 天未訪問集群的用戶帳戶。 ...
如何在 kubernetes 上隱藏特定用戶的命名空間
[英]How to hide a namespace for specific user on kubernetes
我有三個命名空間產品開發者階段我有兩個用戶 prod-user:對“prod”命名空間具有完全訪問權限,但對“dev”和“stage”沒有訪問權限 dev-user:對“dev”和“stage”命名空間具有完全訪問權限,但對“prod”沒有訪問權限在“prod-user”上,如果我得到命名空間“ku ...
默認情況下如何將 Deployment/Pod 關聯到非默認服務帳戶
[英]How to associate a Deployment/Pod to a non-default service account by default
當我們沒有在部署/pod 清單中指定任何服務帳戶時,它會與相應命名空間中的“默認”服務帳戶相關聯。 我的問題是,是否可以更改此行為,以便默認情況下,部署/pod 與 pods 命名空間中的自定義服務帳戶相關聯(無需在每個部署/pod 清單中指定自定義服務帳戶)? 任何有關實現此目的的文檔鏈接都會 ...
無法在 GKE 上部署 bitnami/rabbitmq Helm Chart,需要創建角色的權限
[英]Can't deploy bitnami/rabbitmq Helm Chart on GKE, permission to create role is required
介紹 : 我正在嘗試使用我的 Gitlab CI/CD 管道將RabbitMq Helm Chart 部署到 GKE。 我用來安裝圖表的命令是: 環境/rabbitmq/rabbitmq.yaml: Gitlab 作業首先使用 gcloud 連接到 GKE 集群: 問題: 但是he ...
Kubernetes 服務賬戶為容器中的不同用戶訪問 AWS S3
[英]Kubernetes service account to access AWS S3 for different users in the container
我有一個 EKS 部署,其服務帳戶具有可訪問 S3 的策略和角色。 這適用於容器中的 root 帳戶。 容器可以毫無問題地執行aws s3 cp ... 問題是另一個用戶不能。 它從 S3 服務獲取AccessDenied ,這意味着它沒有正確的憑據。 所以我的問題是:在這種情況下,如何向容器 ...
無法創建 k8s 儀表板服務帳戶
[英]Cant create k8s dashboard service account
在此處輸入圖像描述 我按照本教程https://github.com/kubernetes/dashboard/blob/master/docs/user/access-control/creating-sample-user.md但是,完成所有步驟后,我在使用時看不到任何帳戶kubectl 獲取秘 ...
為什么 Pod 中的 K8s 自動掛載服務帳戶令牌與直接從服務帳戶檢索到的令牌不同?
[英]Why K8s automounted service account token in a pod is different from the token retrieved directly from a service account?
假設我創建了一個服務帳戶並檢索了與之關聯的令牌:kubectl -n myexample describe sa myexample-sa kubectl describe secret myexample-sa-token-xxxxx 令牌的價值: 然后,我在部署中創建一個 pod,並將上 ...
錯誤 kubebootstrap:工人恐慌:ingresses.networking.k8s.io 被禁止:用戶無法在 API 組 .networking.k8s.io 中列出資源“ingresses””
[英]ERROR kubebootstrap: WORKER PANICKED: ingresses.networking.k8s.io is forbidden: User cannot list resource "ingresses" in API group "networking.k8s.io"
我目前在托管 Lucidworks Fusion 的 Amazon EKS 集群中遇到問題。 首先,我有一個 Amazon EKS v1.18集群,然后升級到v1.19 ,一切順利。 我還在我的集群中運行了ingress-nginx-3.7.1 ,然后我升級到ingress-nginx-4.0.1 ...
如何編寫/使用K8 Python客戶端創建新角色,sa & role binding
[英]How to write/use K8 Python client to create a new role, sa & role binding
我目前正在尋找以編程方式管理 Kube.netes 集群 (eks) 的最佳方式。 我遇到了一個 python Kube.netes 客戶端,我可以在其中加載本地配置,然后創建一個命名空間。 我正在運行一個 jenkins 作業,我希望它在其中創建名稱空間、角色、角色綁定等。 我已經設法創建了命名 ...
通過 WLAN IP 公開在我的 PC localhost 上運行的 kubernetes 服務容器,以啟用從另一台 PC 與同一路由器上的兩台 PC 的連接
[英]Exposing kubernetes service container running on my PC localhost via WLAN IP to enable connection from another PC with both PCs on the same router
我有一個 k8s 服務在我的本地 PC 上運行並且工作正常。 數據庫和服務。 一切正常,可以通過我的瀏覽器和郵遞員上的本地主機訪問。 但是,我希望能夠通過同一路由器/互聯網上的其他 PC/移動應用程序連接到它。 因此,我嘗試了端口轉發,並且嘗試使用netsh interface portproxy ...
如何為命名空間資源配置 ClusterRole
[英]How to configure a ClusterRole for namespaced resources
我想允許命名空間 A 中的 ServiceAccount 訪問命名空間 B 中的資源。為此,我通過 ClusterRoleBinding 將 ServiceAccount 連接到 ClusterRole。 文檔說我可以“使用 ClusterRole [1.] 定義對命名空間資源的權限並在單個命名 ...
如何只為特定用戶在k8s中編寫psp?
[英]How to write a psp in k8s only for a specific user?
我們有一個默認命名空間,其中 nginx 服務帳戶無權啟動 nginx 容器創建 pod 時,使用命令 結果,我們得到一個錯誤 據我了解,有必要編寫一個允許 nginx-sa 服務帳戶運行的 psp 策略,但我不明白如何為特定服務帳戶正確編寫它 ...
限制對特定服務帳戶的 K8s 機密訪問
[英]Restrict access of a K8s secret to a particular service account
我有一個秘密,其中包含非常敏感的信息。 我想確保這個秘密只能由某個服務帳戶訪問,其他任何人都不能訪問。 使用 RBAC,我可以判斷哪個用戶可以訪問哪些資源。 但是有什么方法可以告訴我這個秘密只能由這個用戶訪問? ...
為 Kubernetes 修改 ClusterRole
[英]Modify ClusterRole for Kubernetes
我想為我的 Kubernetes 集群( https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles )的某些用戶使用 ClusterRole編輯。 然而,不幸的是,用戶可以訪問和修改資源配額和限制 ...
k8s掛載服務賬號token
[英]k8s mount service account token
賞金將在 6 天后到期。 此問題的答案有資格獲得+100聲望賞金。 JJD正在從有信譽的來源尋找答案。 如何安裝服務帳戶令牌,我們使用的圖表不支持它,一個小時后圖表失敗。 https://kubernetes.io/docs/reference/access-authn-authz/servi ...
無法使用 Kubernetes ServiceAccount 列出或刪除 ClusterRole 或 ClusterRoleBinding
[英]Cannot list or delete ClusterRole or ClusterRoleBinding with a Kubernetes ServiceAccount
我想創建一個 Kubernetes CronJob 來刪除可能剩余的資源(命名空間、ClusterRole、ClusterRoleBinding)(最初,標准將是“有標簽=某事”和“超過 30 分鍾”。(每個命名空間包含用於試運行)。 我創建了 CronJob、ServiceAccount、Clu ...
對 k8s 應用程序使用 k8s 內部 dns 會導致縮放時出現 http 502 錯誤
[英]Using k8s internal dns for k8s apps result in http 502 errors on scaling
我有一個在 k8s 服務 dns 下運行的 k8s 應用程序“alpha”,暴露為 alpha-service.namespace,它被另一個應用程序 - “beta”使用。 應用程序“beta”通過服務 dns“alpha-service.namespace”連接到應用程序“alpha”。 根據“ ...