0

我有以下角色:

roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: admin

当我做一个kubectl proxy --port 8080然后尝试做

http://127.0.0.1:8080/apis/extensions/v1beta1/namespaces/cdp/deployments/{deploymentname}

我得到一个200,一切正常。但是,当我这样做时:

http://127.0.0.1:8080/apis/extensions/v1beta1/namespaces/cdp/deployments/{deploymentname}/status

我被禁止和403状态回来了。

我还能够以我的get角色进行 create部署listwatchadmin

/status当我清楚地拥有作为我的命名空间管理员的所有必要权限时,任何关于为什么会给予禁止的想法。

4

2 回答 2

1

状态子资源并没有为您提供更多信息,而不仅仅是获取部署

管理员角色权限不允许您写入部署状态。它们允许您创建和删除部署对象,控制对象的“规范”部分。状态修改权限被授予部署控制器。

于 2018-11-10T03:32:10.780 回答
1

你提到了角色的动词,你没有提到资源和 apiGroup。确保设置了以下内容:

  - apiGroups:
    - apps
    - extensions
    resources:
    - deployments/status
于 2018-11-10T03:33:46.750 回答