kubernetes - 自动将 imagePullSecrets 添加到 ServiceAccount
问题描述
我们将 ServiceAccounts 用于 RBAC,因此有多个 SA 在起作用,以允许我们通过 RoleBindings 适当地调整访问。
我们还使用私有注册表,因此可以使用 imagePullSecrets 从私有注册表中提取图像。我正在尝试提出一个解决方案,通过该解决方案,在命名空间中创建的所有 SA 默认情况下会获取应用于添加到它们的默认 SA 的 imagePullSecrets 列表,以便在我们部署使用该服务的 Pod 时(通常是正确的在 SA 之后),serviceAccount 已经配置为使用 imagePullSecrets 来检索图像。
有没有人设计出一种优雅的方式来处理这个问题?我确实检查了 pod 是否可以应用多个 serviceAccount - N 用于保存 imageSecrets,1 用于映射到 RBAC。和/或,有人可以提出另一种看待问题的方法吗?
[更新:澄清 - 挑战是在多个服务帐户之间共享一组 imagePullSecrets,最好不要明确需要将它们添加到每个 ServiceAccount 定义中。私有注册表应该被认为类似于 dockerhub:访问注册表的用户通常是为了能够拉取,然后使用用户信息来跟踪谁在拉取图像,并偶尔阻止用户拉取他们不应该访问的图像因为“这东西不适合更广泛的消费”。]
解决方案
正如我在另一个线程中回答的那样:
要轻松地将 imagePullSecrets 添加到 serviceAccount,您可以使用 patch 命令:
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "mySecret"}]}'
推荐阅读
- parallel-processing - 景观上的共享记忆和人口动态
- javascript - 在数组中推送对象时,vue ui 没有得到更新
- wcf - 我可以将此 wsHttpBinding 转换为支持流的自定义 WCF 绑定吗?
- git - 自动删除 Gitlab 备份
- sublimetext3 - Sublime Text 在查找期间在“搜索字符串”之前添加 \b
- java - Spring boot @ExceptionHandler 没有响应自定义响应
- python - 如何提高在 Python 中调用 400 次的函数速度
- autocad - 为什么 AutoCAD 无法直接打开 dwf 文件?
- pytorch - 无法通过 torch.rfft 反向传播
- c++ - 无法从类成员函数返回 unique_ptr