web-dev-qa-db-ja.com

バインドされたポッドを作成せずにkubernetes rbacでのみポッド/ execのアクセスを制御する方法

私はkubernetesのドキュメントを確認しましたが、pods/execリソースに動詞がないことを確認し、アクセスを制御するだけの方法がわかりません。ポッドを作成したので、他の誰かがアクセスするには「exec」を使用する必要がありますが、クラスターに何も作成できません。

これを実装する方法?

11
peteyuan

自分で解決策を見つけました。

Pods/execはポッドのサブリソースであるため、ポッドを実行する場合は、最初にポッドを取得する必要があるため、ここに私のロール定義を示します。

kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods", "pods/log"] verbs: ["get", "list"] - apiGroups: [""] resources: ["pods/exec"] verbs: ["create"]

22
peteyuan