4

根据Spring Cloud Kubernetes文档,为了在启用 RBAC 的 Kubernetes 发行版中发现服务/pod:

您需要确保使用 spring-cloud-kubernetes 运行的 pod 可以访问 Kubernetes API。对于您分配给部署/pod 的任何服务帐户,您需要确保它具有正确的角色。例如,您可以cluster-reader根据您所在的项目向默认服务帐户添加权限。

什么是cluster-reader发现服务/pod 的权限?

我收到的错误是:

io.fabric8.kubernetes.client.KubernetesClientException: Failure executing: GET at: https://x.x.x.x/api/v1/namespaces/jx-staging/services. 
Message: Forbidden!Configured service account doesn't have access. 
Service account may have been revoked. services is forbidden: 
User "system:serviceaccount:jx-staging:default" cannot list services in the namespace "jx-staging"
4

2 回答 2

9

阅读似乎是 Spring Cloud Kubernetes 发现 pod 和服务的最低要求endpointsservices

示例将权限添加到命名空间中的default服务帐户default

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: cluster-read-role
rules:
- apiGroups:
  - ""
  resources:
  - endpoints
  - pods
  - services
  - configmaps
  verbs:
  - get
  - list
  - watch

---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: cluster-read-rolebinding
subjects:
- kind: ServiceAccount
  name: default
  namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-read-role
  apiGroup: rbac.authorization.k8s.io
于 2019-02-13T11:29:55.557 回答
6

Kubernetes 通常将角色分为两种类型:

  • 角色:这是特定于他们被授予的命名空间
  • ClusterRole:适用于整个集群,也就是说它适用于所有的命名空间

所以 Spring Cloud Kubernetes 文档的意思是,为了能够在所有命名空间中正确读取发现服务/pod,将与应用程序关联的 ServiceAccount 应该有一个ClusterRole允许它读取PodsServices

Kubernetes 文档的这一部分(也包含很好的示例)是全面了解 Kubernetes RBAC 的必读内容。

于 2019-02-12T17:21:12.880 回答