我可以在Kubernetes中将一个服务帐户连接到多个命名空间吗?

qxsslcnc  于 2023-06-21  发布在  Kubernetes
关注(0)|答案(1)|浏览(142)

我有两个命名空间-假设是NS1NS2。我在这些中创建了服务帐户-NS1中的sa1NS2中的sa2。我已经为sa1创建了角色和角色绑定,以便在NS1NS2中的sa2中执行操作。我想要的是在NS2中给sa1一定的访问权限(比如只给Pod Reader角色)。
我想知道这是否可能?

0md85ypi

0md85ypi1#

您可以简单地从RoleBinding中的另一个命名空间引用ServiceAccount:

apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
  name: pod-reader
  namespace: ns2
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-reader-from-ns1
  namespace: ns2
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: pod-reader
subjects:
- kind: ServiceAccount
  name: ns1-service-account
  namespace: ns1

相关问题