我正在尝试创建一个每 15 分钟记录一次项目资源的脚本。如何使用 Openshift API 进行身份验证?是否有我可以使用的对所有命名空间具有读取权限的令牌?如何创建可以访问所有命名空间的服务帐户?
问问题
680 次
1 回答
1
您需要创建一个对资源具有读取权限的 ClusterRole,并使用 ClusterRoleBinding 将 ServiceAccount 与该 ClusterRole 相关联。粗略的示例,未经测试,但它应该可以工作:
# creates the service account "ns-reader"
apiVersion: v1
kind: ServiceAccount
metadata:
name: ns-reader
namespace: default
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
# "namespace" omitted since ClusterRoles are not namespaced
name: global-reader
rules:
- apiGroups: [""]
# add other rescources you wish to read
resources: ["pods", "secrets"]
verbs: ["get", "watch", "list"]
---
# This cluster role binding allows service account "ns-reader" to read pods in all available namespace
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: read-ns
subjects:
- kind: ServiceAccount
name: ns-reader
namespace: default
roleRef:
kind: ClusterRole
name: global-reader
apiGroup: rbac.authorization.k8s.io
设置 ServiceAccount 时,会自动创建许多与其关联的机密。其中一些秘密持有一个令牌,然后可以在直接使用 REST API 或使用oc. 在 ServiceAccount 上使用oc describe以查看令牌的 Secret 名称。然后oc describe在其中一个 Secrets 上使用以查看令牌。
于 2018-04-05T08:36:13.497 回答