kubernetes - Kubernetes RBAC - 允许端口转发,但禁止手动创建 Pod
问题描述
我们使用 argocd 将我们的存储库与我们的 kubernetes 集群同步。为了防止部署与版本控制不同步,我们禁止在这些命名空间中手动创建 Pod。对于开发/调试,能够将 pod 和服务端口转发到本地机器会很有帮助。
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
namespace: my-namespace
name: allow-port-forward
rules:
- apiGroups: [""]
resources: ["pods", "pods/portforward"]
verbs: ["get", "list", "create"]
这可行,但它也允许在my-namespace. 如果我将配置更改为:
resources: ["pods/portforward"]
端口转发停止工作。
有没有办法只允许端口转发,但不允许在其中创建任意 pod my-namespace?
解决方案
推荐阅读
- node.js - 团队错误的 SSO 机器人 - “由于错误而无法授权”
- firebase - 使用云功能时,Firebase 身份验证未输出 displayName
- javascript - React hook - setState 没有更新状态
- loops - 在 uiviewcontroller 上创建一个循环来分隔 2 个不同的对象
- python - 比较两个数据帧,一个有时间范围,另一个有特定时间
- javascript - 一个关于实现接口及其继承的javascript构造函数问题
- xml - 使用 xslt 添加
- swiftui - 如何在编辑模式下删除 SwiftUI 列表行中的删除按钮?
- laravel - 为什么无法访问我当地的 Laravel Homestead 归还站点
- reactjs - 我可以在父功能组件中定义一个函数,以便接收该函数作为道具的子 PureComponent 不会重新呈现吗?