问题标签 [k8s-serviceaccount]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
19 浏览

kubernetes - 对 k8s 应用程序使用 k8s 内部 dns 会导致缩放时出现 http 502 错误

我有一个在暴露为 alpha-service.namespace 的 k8s 服务 dns 下运行的 k8s 应用程序“alpha”,它被另一个应用程序 - “beta”使用。

应用程序“beta”通过服务 dns“alpha-service.namespace”连接到应用程序“alpha”。根据“alpha-service.namespace”服务中的 Pod 扩展和缩减的扩展策略。

但是,在缩小“alpha”应用程序时,“beta”应用程序在缩小的 Pod 上的请求面临 http“502”错误。

解决/避免这种情况并让 pod 放大/缩小而不影响“测试版”应用程序的理想方法是什么?

0 投票
1 回答
138 浏览

kubernetes - 无法使用 Kubernetes ServiceAccount 列出或删除 ClusterRole 或 ClusterRoleBinding

我想创建一个 Kubernetes CronJob 来删除可能剩​​余的资源(命名空间、ClusterRole、ClusterRoleBinding)(最初,标准将是“有标签=某事”和“超过 30 分钟”。(每个命名空间包含用于试运行)。

我创建了 CronJob、ServiceAccount、ClusterRole、ClusterRoleBinding,并将服务帐户分配给 cronjob 的 pod。

cronjob 使用包含 kubectl 的映像和一些脚本来选择正确的资源。

我的初稿是这样的:

cronjob 能够列出和删除命名空间,但不能列出和删除集群角色或集群角色绑定。我错过了什么?

(实际上,我先用 Job 对此进行测试,然后再转向 CronJob):

0 投票
1 回答
206 浏览

amazon-web-services - k8s挂载服务账号token

如何安装服务帐户令牌,我们使用的图表不支持它,一个小时后图表失败。

https://kubernetes.io/docs/reference/access-authn-authz/service-accounts-admin/#bound-service-account-token-volume

我了解到,从 1.22.x 开始,k8s 的默认行为

BoundServiceAccountTokenVolume在以下链接中 https://kubernetes.io/docs/reference/command-line-tools-reference/feature-gates/

我指的是 手动安装服务帐户令牌

我在谈论不支持 https://vector.dev/docs/setup/installation/platforms/kubernetes/的vectordev

根据这篇文章更新 这是在 k8s 1.22.x 上执行此操作的方法,请提供一个示例,因为我不确定如何使其工作 https://github.com/vectordotdev/vector/issues/8616#issuecomment-1010281331

0 投票
1 回答
42 浏览

kubernetes - 修改 Kubernetes 的 ClusterRole

我想为我的 Kubernetes 集群( https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles)的一些用户使用 ClusterRole编辑。

然而,不幸的是,用户可以访问和修改资源配额和限制范围。

我现在的问题是:如何通过 RoleBinding 授予用户对命名空间的访问权限,以使角色本质上是 CluserRole编辑,但没有对资源配额和限制范围的任何访问权限?

0 投票
2 回答
44 浏览

kubernetes - 限制对特定服务帐户的 K8s 机密访问

我有一个秘密,其中包含非常敏感的信息。我想确保这个秘密只能由某个服务帐户访问,其他任何人都不能访问。

使用 RBAC,我可以判断哪个用户可以访问哪些资源。但是有什么方法可以告诉我这个秘密只能由这个用户访问?

0 投票
1 回答
48 浏览

kubernetes - 如何只为特定用户在k8s中编写psp?

我们有一个默认命名空间,其中 nginx 服务帐户无权启动 nginx 容器

创建 pod 时,使用命令

结果,我们得到一个错误

据我了解,有必要编写一个允许 nginx-sa 服务帐户运行的 psp 策略,但我不明白如何为特定服务帐户正确编写它

0 投票
1 回答
85 浏览

kubernetes - 通过集群内的应用程序访问已配置 oidc 的 kubernetes 集群

我希望我的应用程序的集群内部署能够访问配置了 oidc 的 kubernetes 集群,我该怎么做,我知道一种方法是通过服务帐户,但是我们是否有可以使用 oidc 流和收到的令牌的东西从应用程序内向集群发出请求?

这是应用程序部署配置https://gist.github.com/ashu8912/97cf92ce9b4df2f9c71671cbe45b4625

0 投票
2 回答
47 浏览

kubernetes - 如何为命名空间资源配置 ClusterRole

我想允许命名空间 A 中的 ServiceAccount 访问命名空间 B 中的资源。为此,我通过 ClusterRoleBinding 将 ServiceAccount 连接到 ClusterRole。 文档说我可以“使用 ClusterRole [1.] 定义命名空间资源的权限并在单个命名空间内授予”

但是通过查看K8s 文档,我找不到如何使用命名空间资源创建 ClusterRole 的方法。我怎样才能做到这一点?

0 投票
0 回答
35 浏览

kubernetes - 版本“helm.cattle.io/v1”中的种类“HelmChart”没有匹配项

我正在尝试从 helmChart 创建 jenkins,我在一年前使用过这种方式并且它有效,但现在它无法正常工作,当我尝试应用 yaml 文件时出现此错误kubectl apply -f helm.yaml -n jenkins

helm.yaml

0 投票
0 回答
21 浏览

kubernetes - kubectl get AzureAssignedIdentities -A -o yaml 为空

我正在尝试使用以下模板部署 api 版本:

当我跑

我得到如下空响应。

谁能告诉这里有什么问题。

提前致谢!