i
В итоге - прав на действия в целевых неймспейсах нет. Есть подобное, где sa находится в том же неймспейсе на который даю права - там все ок
Size: a a a
2020 July 08
i
Блин, я чат убил(
ВГ
А clusterrollebinding сделал?
DS
"sa-name" = {
"id" = "default/sa-name-binding"
"metadata" = [
{
"annotations" = {}
"generation" = 0
"labels" = {}
"name" = "sa-name-binding"
"namespace" = "default"
"resource_version" = "25545798"
"self_link" = "/apis/rbac.authorization.k8s.io/v1/namespaces/default/rolebindings/shmakov-binding"
"uid" = "7abc5d74-e722-4f34-97e2-27c34127cdae"
},
]
"role_ref" = [
{
"api_group" = "rbac.authorization.k8s.io"
"kind" = "ClusterRole"
"name" = "edit"
},
]
"subject" = [
{
"api_group" = ""
"kind" = "ServiceAccount"
"name" = "sa-name"
"namespace" = "testingnamespace"
},
{
"api_group" = ""
"kind" = "ServiceAccount"
"name" = "sa-name"
"namespace" = "testingnamespace2"
},
]
}Вроде rolebinding будет биндить clusterrole, только в том же namespace где sa, на который ты биндишь. Два sa из разных namespace для rolebinding не имеют смысла по идее.
Тебе нажо два rolebinding для каждого namespace делать
Если речь конечно о rolebinding идет
Тебе нажо два rolebinding для каждого namespace делать
Если речь конечно о rolebinding идет
i
Понел, то есть на каждый неймспейс надо свой биндинг получается
i
а неймспей в metadata указать
DS
А clusterrollebinding сделал?
в таком случае эти sa будут иметь доступ ко всем ресурсам кластера, описанных в clusterrole. А ему скорее всего надо ограничить sa одним namespace
i
А clusterrollebinding сделал?
Это дефолтная роль
i
в таком случае эти sa будут иметь доступ ко всем ресурсам кластера, описанных в clusterrole. А ему скорее всего надо ограничить sa одним namespace
если в clusterrole binding в subject указать конкретный неймспейс, то права будут только на этот неймспейс
i
У меня деплойные sa так же работают
i
Каждый имеет права только в свой неймспейс
DS
если в clusterrole binding в subject указать конкретный неймспейс, то права будут только на этот неймспейс
так не пробовал. Я добиваюсь такого эффекта через rolebinding + clusterrole
i
То есть вообще роль общая и не принадлежит неймспейсу
i
Но биндится только в конкретном
i
так не пробовал. Я добиваюсь такого эффекта через rolebinding + clusterrole
Так у меня так и есть
i
Вот то что скинул - выхлоп от rolebinding
i
Но значит надо отдельные биндинги для каждого неймспейса. Я думал можно его создать там же где и sa а в сабджектах указать нужные неймспейсы
DS
Так у меня так и есть
я просто неверно тебя понял
i
Дока просто блин явно ничего не говорит
i
Примеры есть, все хорошо, но мой кейс не покрывают и из описания явно не понятно, будет так работать или нет. Значит - не будет)