我创建了一个启用了 RBAC 的 Azure Kubernetes 集群。
所以我的想法是,如果任何 pod 想要访问集群中的任何资源,它应该与服务帐户相关联,并且服务帐户应该分配一个特定的角色来访问资源。
但在我的情况下,我可以访问诸如 list pod 之类的资源,从 pod 中列出命名空间,它与未分配任何角色的服务帐户相关联。
如果我对 RBAC 的理解有误,或者我在这里做错了什么,请帮助我!
【问题讨论】:
标签: azure kubernetes rbac service-accounts
您的理解是正确的,我不确定授予默认服务帐户的权限,但如果您创建自己的角色并将其分配给服务帐户,您可以控制权限。示例:
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: RoleBinding
metadata:
name: myserviceaccount
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: orleans-cluster
namespace: mynamespace
subjects:
- kind: ServiceAccount
name: myserviceaccount
namespace: mynamespace
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: orleans-cluster
rules:
- apiGroups:
- orleans.dot.net
resources:
- clusterversions
- silos
verbs:
- '*'
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: myserviceccount
namespace: mynamespace
如果您将 myserviceaccount 分配给 pod,它将只允许 pod 执行角色中定义的任何操作。因此您需要创建一个角色和一个服务帐户,并使用角色绑定(或集群范围权限的 clusterrolebinding)到服务帐户。
【讨论】: