具有 resourceName 和列表对象的 Kubernetes RBAC 角色-6ren

具有 resourceName 和列表对象的 Kubernetes RBAC 角色

转载作者：行者123 更新时间：2023-12-02 11:51:38

25

4

apiVersion: rbac.authorization.k8s.io/v1                                                                                                                    
kind: Role                                                                                                                                                  
metadata:                                                                                                                                                   
  name: p-viewer-role                                                                                                                  
  namespace: pepsi                                                                                                                                  
rules:                                                                                                                                                      
- apiGroups:                                                                                                                                                
  - ""                                                                                                                                    
  resourceNames:                                                                                                                                            
  - p83                                                                                                                                                     
  resources:                                                                                                                                                
  - pods                                                                                                                                                
  verbs:                                                                                                                                                    
  - list                                                                                                                                                    
  - get                                                                                                                                                     
  - watch

当我们在 Roles 中使用 resourceNames 时，下面的命令有效

kubectl get pods -n pepsi p83

返回一个正确的值。然而，

kubectl get pods -n pepsi

禁止返回。为什么不列出 p83

角色绑定(bind)

apiVersion: rbac.authorization.k8s.io/v1                                                                                                                    
kind: RoleBinding                                                                                                                                           
metadata:                                                                                                                                                   
  name: p-viewer-rolebinding                                                                                                          
  namespace: pepsi                                                                                                                                  
roleRef:                                                                                                                                                    
  apiGroup: rbac.authorization.k8s.io                                                                                                                       
  kind: Role                                                                                                                                                
  name: p-viewer-role                                                                                                                  
subjects:                                                                                                                                                   
- apiGroup: rbac.authorization.k8s.io                                                                                                                       
  kind: Group                                                                                                                                               
  name: pepsi-project-viewer                                                                                                                    
  namespace: project

最佳答案

这是预期的行为。您已经定义了一个 role，它的范围是 namespace pepsi 到 pod resources 具有特定的 resourceName p83。

要使 kubectl get pods -n peps 命令生效，您需要从 Role 中删除 resourceNames p83 >

这种高级验证最好由 OPA 处理您可以在其中定义细粒度的策略。

关于具有 resourceName 和列表对象的 Kubernetes RBAC 角色，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/62274122/

25

4

0

文章推荐： Kubernetes - 集群内网络 -

文章推荐： spring - 获取自己服务的所有正在运行的 pod 的列表

javascript - breezejs 导航刷新 "There is no resourceName for this query"
我有一个 breeze js 导航属性，所有加载都很好，但我想刷新导航记录，所以我尝试使用以下代码 this.data().entityAspect .loadNavigationProperty
c# - Assembly 和 ResourceName 无效？
我有这个代码: Assembly myAssembly = Assembly.GetExecutingAssembly(); foreach (string resou
具有 resourceName 和列表对象的 Kubernetes RBAC 角色
apiVersion: rbac.authorization.k8s.io/v1
xcode - 在 Xcode 中禁用 #imageLiteral(resourceName : <. .>) 预览？
我发现图像文字令人分心而不是有用。有什么办法可以禁用此 Xcode 功能吗？最佳答案一个很好的方法是替换所有出现的 #imageLiteral与 UIImage(imageLiteralReso
java - 使用 spring-data-rest 定义路径为 "/{resourcename}/search/"的自定义方法
我很困惑。我找不到如何将自定义“搜索”方法与在 spring-data-rest 的帮助下加载的方法一起定义。你能回答我吗，这个框架有这种“开箱即用”的可能性吗？如果有，你能告诉我，我在哪里可以找到它
javascript - 未捕获错误 : Failed to load routed module (viewmodels/home/index). 详细信息: 'resourceName' 参数必须是 'string'
使用 Durandal/Breeze/Knockout 添加新页面或查找时，在执行大量步骤来加载所有数据并创建页面后，我会不断收到以下错误。未捕获错误:无法加载路由模块(viewmodels/hom

首页

博学

6Ren·AI

商城

具有 resourceName 和列表对象的 Kubernetes RBAC 角色

角色绑定(bind)