#kubernetes
Вопрос:
создайте роль кластера и привязку к кластеру для просмотра журналов модулей, но я не могу получить доступ
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: read-permissions rules: - apiGroups: - "" resources: - nodes - services - configmaps - pods - deployments - endpoints verbs: - list - get --- kind: ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: read-permissions-binding namespace: scourge subjects: - kind: Group name: system:read-logs apiGroup: rbac.authorization.k8s.io roleRef: kind: ClusterRole name: read-permissions apiGroup: rbac.authorization.k8s.io
kubectl auth can-i get pod --as="user" --as-group=read-pod Warning: the server doesn't have a resource type 'pod' Error from server (Forbidden): selfsubjectaccessreviews.authorization.k8s.io is forbidden: User "idow" cannot create resource "selfsubjectaccessreviews" in API group "authorization.k8s.io" at the cluster scope
если я выполню эту команду с другой группой, она завершится успешно
Комментарии:
1. Используете ли вы одно и то же пространство имен? Если вы добавите «—все пространства имен», каковы будут результаты?
2. не должно ли это быть «чтение журналов» вместо «чтение модуля» в
kubectl auth can-i get pod --as="user" --as-group=read-pod