web-dev-qa-db-ja.com

1つのサービスアカウントをKubernetesの複数のネームスペースに接続できますか?

いくつかの名前空間があります-NS1NS2を想定しています。 sa1NS1sa2NS2にサービスアカウントが作成されています。 sa1NS1内でsa2およびNS2内で何かを行うために、sa1のロールとロールバインディングを作成しました。私が望むのは、NS2内で特定のアクセス権を与えることです([POMEリーダーの役割のみ)。

それが可能かどうか疑問に思っていますか?

9
rahul

RoleBindingの別のネームスペースからServiceAccountを単純に参照できます。

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
  name: pod-reader
  namespace: ns2
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-reader-from-ns1
  namespace: ns2
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pod-reader
subjects:
- kind: ServiceAccount
  name: ns1-service-account
  namespace: ns1
15
Robert Panzer