我发现了很多关于如何授予 helm 权限以在特定命名空间中创建资源的信息。
我正在尝试查看是否可以动态创建命名空间(使用随机名称),然后使用 helm 在命名空间内安装和删除资源。
我的想法是创建一个名称为 Fixedsuffix-randomprefix 的命名空间,然后允许 helm 在其中创建所有资源。这可能吗?
我可以创建一个 clusterrole 和 clusterrolebinding 以允许分蘖的服务帐户创建命名空间,但我无法弄清楚如何拥有一个可以在特定命名空间中创建资源的服务帐户(主要是因为这个创建资源的服务帐户不能有在创建命名空间时创建,然后分配给分蘖 pod)。
TIA
【问题讨论】:
标签: kubernetes kubernetes-helm rbac
我的问题是你为什么要创建 sa、clusterrole 和 rolebinding 来做到这一点? Helm 拥有自己的资源,允许他在新命名空间中安装和删除资源。
我的想法是创建一个名称为 Fixedsuffix-randomprefix 的命名空间,然后允许 helm 在其中创建所有资源。这可能吗?
是的,您可以创建新的命名空间并使用 helm 安装此命名空间中的所有内容。或者更好的是,您可以使用 helm install,它会为您创建新的命名空间。为此,helm 拥有helm install --namespace。
-n, --namespace string 此请求的命名空间范围
例如,您可以在命名空间 tla 中安装 traefik chart。
helm install stable/traefik --namespace=tla
NAME: oily-beetle
LAST DEPLOYED: Tue Mar 24 07:33:03 2020
NAMESPACE: tla
STATUS: DEPLOYED
我想到的另一个想法是,您可能希望分蘖不使用集群管理员凭据,那么这个 link 可能会有所帮助。
【讨论】: