腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
2
回答
当试图锁定命名空间时,RBAC没有按预期工作。
、
、
、
我试图使用RBAC锁定kubernetes中的命名空间,因此我遵循了这个。 我正在开发一个裸金属集群 (no,无云提供商),并使用Ansible安装kubernetes。 我创建了名称空间: apiVersion: v1 kind: Namespace metadata: name: lockdown 服务帐户: apiVersion: v1 kind: ServiceAccount metadata: name: sa-lockdown namespace: lockdown 角色: kind: Role apiVersion: rbac.authorization.k8s.io
浏览 1
提问于2018-11-19
得票数 0
回答已采纳
2
回答
如何设置kubernetes RBAC资源,使pods可以通过客户端访问API?
、
、
问题 我有一个简单的RBAC配置来访问集群内的Kubernetes API。然而,我从kubectl得到了似乎相互冲突的信息。部署清单后,RBAC似乎已正确设置。 $ kubectl exec -ti pod/controller -- kubectl auth can-i get namespaces Warning: resource 'namespaces' is not namespace scoped yes 但是,实际上发出请求会产生一个权限错误 $ kubectl exec -ti pod/controller -- kubectl get namespaces
浏览 18
提问于2020-05-22
得票数 2
回答已采纳
1
回答
带有集群角色问题的Fil耗7.3.2服务帐户
、
、
、
、
我的Kubernetes用户不是集群中的管理员。因此,我只是不能为文件节拍服务帐户创建集群角色绑定。我正在使用自动发现在文件拍。有人能帮我吗?没有集群角色我怎么能做到这一点。 apiVersion: v1 kind: ConfigMap metadata: name: filebeat-config namespace: logging labels: k8s-app: filebeat kubernetes.io/cluster-service: "true" data: filebeat.yml: |- setup.dashboard
浏览 3
提问于2021-05-03
得票数 1
1
回答
无法以非管理用户的身份与kubectl代理连接到Kubernetes仪表板
、
、
我希望允许非管理用户使用Kubernetes仪表板来查看名称空间中的K8对象。作为集群管理,我没有问题使用kubectl代理连接Kubernetes仪表板。当我第一次尝试使用对其整个命名空间具有只读访问权限的应用程序服务帐户访问它时,我收到以下错误: { "kind": "Status", "apiVersion": "v1", "metadata": { }, "status": "Failure", "message": "ser
浏览 0
提问于2020-04-10
得票数 0
2
回答
为多个命名空间创建服务帐户
我试图使用相同的令牌在Kubernetes中创建一个服务帐户,并且只允许他们访问三个名称空间。这在库伯内特斯有可能吗? 我所做的: 我创建了我的服务帐户: kubectl create serviceaccount myuser 我创造了一个角色: apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: labels: kubernetes.io/bootstrapping: rbac-defaults name: myrole rules: - apiGroups: - ""
浏览 0
提问于2019-06-07
得票数 0
回答已采纳
1
回答
Kubernetes :如何让其他人访问具有编辑clusterRole权限的kubernetes集群?
、
我做了这个: I创建了一个服务帐户 cat <<EOF | kubectl create -f - --- apiVersion: v1 kind: ServiceAccount metadata: name: myname ... I从服务帐户中创建的秘密生成令牌: token=$(kubectl get secrets myname-xxxx-xxxx -o jsonpath={.data.token} | base64 --decode) I为创建的serviceAccount myname设置凭据: kubectl config set-credentials myna
浏览 1
提问于2020-08-05
得票数 0
回答已采纳
1
回答
按access限制列出的Kubernetes命名空间
、
我有一组users(dev-team),它们只需要访问dev和qa名称空间。我创建了一个服务帐户、集群角色和集群角色绑定,如下所示。 服务帐户 apiVersion: v1 kind: ServiceAccount metadata: name: dev-team 集群角色 apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRole metadata: name: dev-team-users rules: - apiGroups: ["rbac.authorization.k8s.io","
浏览 1
提问于2019-11-27
得票数 9
回答已采纳
1
回答
为什么即使我没有访问权限也应用我的PodSecurityPolicy?
、
、
我有两个PodSecurityPolicy: 000特权(只有kube系统服务帐户和管理用户) 100-限制(其他一切) 我对他们分配豆荚有问题。 第一项政策约束力: kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: psp:privileged rules: - apiGroups: - extensions resources: - podsecuritypolicies resourceNames: - 000-privileged verbs:
浏览 0
提问于2019-08-30
得票数 0
回答已采纳
2
回答
无法删除所有Kubernetes命名空间Cronjob中所有被逐出的pods
、
、
、
、
我的Kubernetes集群有内存压力限制,我需要(稍后)修复。 有时会有几个甚至几十个被驱逐的豆荚。我创建了一个Cronjob规范来清理被驱逐的pod。我在内部测试了这个命令,它在powershell中工作得很好。 但是,无论我是否在规范中指定一个名称空间,将其部署到每个存在的名称空间,脚本似乎都不会删除我被逐出的pod。 原始脚本: --- apiVersion: batch/v1beta1 kind: CronJob metadata: name: delete-evicted-pods spec: schedule: "*/30 * * * *" faile
浏览 0
提问于2020-07-01
得票数 2
2
回答
RBAC kubectl添加/修补到现有角色绑定
更新:对其进行修补以将角色添加到角色绑定的原因 是否可以将/patch添加到现有的集群/角色绑定。 为了节省混淆,我认为能够添加到现有的角色绑定中会很好。 将/patch添加到角色-我认为这是不可行的,但对于角色绑定-是的,请:-) 尝试了this,但没有成功-所以如果可能的话,怎么做呢? subjects: - kind: ServiceAccount name: test-service-account # Name is case sensitive apiGroup: "" namespace: default # core/v1 .. rbac.au
浏览 23
提问于2020-01-20
得票数 0
回答已采纳
3
回答
Kubernetes服务帐户访问所有命名空间
、
、
我正在尝试从我的另一个pod访问所有的命名空间和pod。因此,我已经创建了clusterrole、clusterrolebinding和service account。我能够访问唯一的客户命名空间资源。但是我需要访问所有的名称空间资源。有可能吗? apiVersion: v1 kind: ServiceAccount metadata: name: spinupcontainers namespace: customer --- kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata: name: s
浏览 1
提问于2020-10-06
得票数 1
1
回答
为什么kubernetes不允许更新RoleRef of RoleBinding?
、
Kubernetes不允许更新RoleRef of RoleBinding。 当我命令如下所示时,kubernetes会显示错误:“无法更改roleRef” $ kubectl apply -f - << EOF kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: test-crb subjects: - kind: User name: user@acme.com apiGroup: rbac.authorization.k8s.io roleRef:
浏览 2
提问于2021-09-06
得票数 1
回答已采纳
1
回答
向现有Jenkins服务器添加kubernetes集群(401未经授权)
、
我想将kubernetes集群添加到现有的jenkins服务器中(并使用命名代理将作业从docker迁移到kubernetes )。 我设置了kubernetes集群,并添加了一个服务帐户,比如运行在同一个kubernetes上的Jenkins实例(我发现这一点要容易得多)。 #service-account.yml --- apiVersion: v1 kind: ServiceAccount metadata: name: jenkins --- kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: name:
浏览 0
提问于2023-01-16
得票数 0
3
回答
PersistentVolume的Kubernetes RBAC规则
、
我正在尝试为一个需要持久卷的服务创建RBAC角色/规则,但是它仍然失败,并且有禁止的错误。 以下是我的角色配置: kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: name: logdrop-user-full-access namespace: logdrop rules: - apiGroups: ["", "extensions", "apps", "autoscaling"] resources: ["*"]
浏览 0
提问于2019-07-01
得票数 12
1
回答
如何将GCP用户与GKE Kubernetes用户联系起来进行身份验证和随后的授权?
、
、
我在GCP中使用GKE Kubernetes。我是GCP,GKE和kubectl的新手。我正在尝试创建新的Kubernetes用户,以便为他们分配ClusterRoleBindings,然后作为这些用户登录(kubectl)。 我没有看到GCP用户和Kubernetes“用户”之间的关系(我知道Kubernetes中没有用户对象类型)。 根据的说法,Kubernetes的用户帐户是Google帐户。 因此,我创建了一些Google帐户,然后通过IAM将它们与我的GCP帐户相关联。我可以在我的报告中看到这些账户。 然后,我在这些新用户上进行了gcloud auth登录,我可以在gcloud列表中
浏览 1
提问于2019-03-28
得票数 2
1
回答
不适用于Kubeadm集群的RBAC规则
、
、
、
在我们的客户的kubernetes集群中(带有kubeadm的v1.16.8),RBAC根本不工作。我们用下面的yaml创建了一个ServiceAccount、只读ClusterRole和ClusterRoleBinding,但是当我们登录时,仪表板或kubectl用户几乎可以在集群中做任何事情。是什么导致了这个问题? kind: ServiceAccount apiVersion: v1 metadata: name: read-only-user namespace: permission-manager secrets: - name: read-only-user-toke
浏览 4
提问于2022-01-07
得票数 2
回答已采纳
1
回答
Kubernetes RBAC“被RoleBinding允许”,但“不能列出资源”
、
、
我正在将一个应用程序部署到我的Kubernetes集群中,它使用Kubernetes API来列出集群中的豆荚(不仅仅是名称空间中的那些)。应用程序将驻留在自己的命名空间中。 RBAC规则如下; apiVersion: rbac.authorization.k8s.io/v1beta1 kind: ClusterRole metadata: name: kubecontrol-rbac-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch
浏览 2
提问于2020-03-26
得票数 1
回答已采纳
3
回答
Kubernetes API:无法在API组中列出资源"pods“
我试着做一个豆荚,作为其他豆荚的控制器,基本上是根据需要创建和阻止它们。我最初创建了一个ServiceAccount、一个角色、一个RoleBinding和一个简单的阿尔卑斯容器,我可以在一个新的命名空间中使用这些容器进行curl测试。这是我所有这些的YAML文件: apiVersion: v1 kind: Namespace metadata: name: nfv labels: name: nfv --- apiVersion: v1 kind: ServiceAccount metadata: name: nfv-svc namespace
浏览 6
提问于2020-06-26
得票数 8
回答已采纳
1
回答
Kubernetes RBAC限制用户只能在kubernetes仪表板上查看所需资源
、
、
、
、
大家好,我想限制我的开发人员只能在kubernetes仪表板上看到所需的资源(例如,只能看到他们的命名空间,而不是所有的命名空间)。有可能做到这一点。如果是,谁能给我指给我正确的文件?非常感谢 我使用下面的基于角色的访问控制来表示kube-system名称空间。但是,用户能够看到仪表板上的所有名称空间,而不是只看到他有权访问的名称空间。 kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: kube-system name: dashboard-re
浏览 0
提问于2018-11-03
得票数 1
1
回答
Kubernetes:我的PodSecurityPolicy不工作或配置错误
、
我试图限制所有pod在特权模式下运行,除了少数几个。 因此我创建了两个Pod安全策略:一个允许运行特权容器,另一个用于限制特权容器。 [root@master01 vagrant]# kubectl get psp NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP READONLYROOTFS VOLUMES privileged true RunAsAny RunAsAny RunAsAny RunAsAny false * r
浏览 89
提问于2019-09-23
得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
【云原生】Kubernetes(k8s)Calico 客户端工具 calicoctl
Jenkins X-(1)基本概念和最佳实践
详解K8S与Rancher 2.0内的身份认证与授权
在 Kubernetess 中使用 DNS和Headless Service 发现运行中的 Pod
Kubernetes多租户漫谈:隔离不只是名字那么简单
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券