1つのサービスアカウントをKubernetesの複数のネームスペースに接続できますか?
いくつかの名前空間があります-NS1とNS2を想定しています。 sa1のNS1とsa2のNS2にサービスアカウントが作成されています。 sa1とNS1内でsa2およびNS2内で何かを行うために、sa1のロールとロールバインディングを作成しました。私が望むのは、NS2内で特定のアクセス権を与えることです([POMEリーダーの役割のみ)。
それが可能かどうか疑問に思っていますか?
RoleBindingの別のネームスペースからServiceAccountを単純に参照できます。
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
name: pod-reader
namespace: ns2
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: pod-reader-from-ns1
namespace: ns2
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: pod-reader
subjects:
- kind: ServiceAccount
name: ns1-service-account
namespace: ns1