我有一个包含许多现有命名空间的集群,以及一个使用 Terraform 创建(和管理)新命名空间的自动化过程。
用于 TF 的服务帐户获得了具有所有命名空间权限的角色 - 因为我相信这是唯一可能的解决方案(TF 需要它们来管理命名空间)。
但正因为如此,它还能够在 Terraform 处理之外修改(和删除)之前创建的命名空间——这是我想阻止/阻止的事情。
所以这是我的问题 - 是否可以限制这个自动化过程修改已经存在的命名空间?
区分新旧命名空间的想法是简单地向 TF 创建的新命名空间添加标签,但我不知道有任何机制可以禁止基于此类标签进行修改......
*准入控制器似乎很合适,但我对该主题完全陌生,不确定是否可以将其用于此类目的。