问题标签 [k8s-serviceaccount]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - 对 k8s 应用程序使用 k8s 内部 dns 会导致缩放时出现 http 502 错误
我有一个在暴露为 alpha-service.namespace 的 k8s 服务 dns 下运行的 k8s 应用程序“alpha”,它被另一个应用程序 - “beta”使用。
应用程序“beta”通过服务 dns“alpha-service.namespace”连接到应用程序“alpha”。根据“alpha-service.namespace”服务中的 Pod 扩展和缩减的扩展策略。
但是,在缩小“alpha”应用程序时,“beta”应用程序在缩小的 Pod 上的请求面临 http“502”错误。
解决/避免这种情况并让 pod 放大/缩小而不影响“测试版”应用程序的理想方法是什么?
kubernetes - 无法使用 Kubernetes ServiceAccount 列出或删除 ClusterRole 或 ClusterRoleBinding
我想创建一个 Kubernetes CronJob 来删除可能剩余的资源(命名空间、ClusterRole、ClusterRoleBinding)(最初,标准将是“有标签=某事”和“超过 30 分钟”。(每个命名空间包含用于试运行)。
我创建了 CronJob、ServiceAccount、ClusterRole、ClusterRoleBinding,并将服务帐户分配给 cronjob 的 pod。
cronjob 使用包含 kubectl 的映像和一些脚本来选择正确的资源。
我的初稿是这样的:
cronjob 能够列出和删除命名空间,但不能列出和删除集群角色或集群角色绑定。我错过了什么?
(实际上,我先用 Job 对此进行测试,然后再转向 CronJob):
amazon-web-services - k8s挂载服务账号token
如何安装服务帐户令牌,我们使用的图表不支持它,一个小时后图表失败。
我了解到,从 1.22.x 开始,k8s 的默认行为
它BoundServiceAccountTokenVolume
在以下链接中
https://kubernetes.io/docs/reference/command-line-tools-reference/feature-gates/
我指的是 手动安装服务帐户令牌。
我在谈论不支持 https://vector.dev/docs/setup/installation/platforms/kubernetes/的vectordev
根据这篇文章更新 这是在 k8s 1.22.x 上执行此操作的方法,请提供一个示例,因为我不确定如何使其工作 https://github.com/vectordotdev/vector/issues/8616#issuecomment-1010281331
kubernetes - 修改 Kubernetes 的 ClusterRole
我想为我的 Kubernetes 集群( https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles)的一些用户使用 ClusterRole编辑。
然而,不幸的是,用户可以访问和修改资源配额和限制范围。
我现在的问题是:如何通过 RoleBinding 授予用户对命名空间的访问权限,以使角色本质上是 CluserRole编辑,但没有对资源配额和限制范围的任何访问权限?
kubernetes - 限制对特定服务帐户的 K8s 机密访问
我有一个秘密,其中包含非常敏感的信息。我想确保这个秘密只能由某个服务帐户访问,其他任何人都不能访问。
使用 RBAC,我可以判断哪个用户可以访问哪些资源。但是有什么方法可以告诉我这个秘密只能由这个用户访问?
kubernetes - 如何只为特定用户在k8s中编写psp?
我们有一个默认命名空间,其中 nginx 服务帐户无权启动 nginx 容器
创建 pod 时,使用命令
结果,我们得到一个错误
据我了解,有必要编写一个允许 nginx-sa 服务帐户运行的 psp 策略,但我不明白如何为特定服务帐户正确编写它
kubernetes - 通过集群内的应用程序访问已配置 oidc 的 kubernetes 集群
我希望我的应用程序的集群内部署能够访问配置了 oidc 的 kubernetes 集群,我该怎么做,我知道一种方法是通过服务帐户,但是我们是否有可以使用 oidc 流和收到的令牌的东西从应用程序内向集群发出请求?
这是应用程序部署配置https://gist.github.com/ashu8912/97cf92ce9b4df2f9c71671cbe45b4625
kubernetes - 版本“helm.cattle.io/v1”中的种类“HelmChart”没有匹配项
我正在尝试从 helmChart 创建 jenkins,我在一年前使用过这种方式并且它有效,但现在它无法正常工作,当我尝试应用 yaml 文件时出现此错误kubectl apply -f helm.yaml -n jenkins
:
helm.yaml
kubernetes - kubectl get AzureAssignedIdentities -A -o yaml 为空
我正在尝试使用以下模板部署 api 版本:
当我跑
我得到如下空响应。
谁能告诉这里有什么问题。
提前致谢!