如何控制pods / exec的访问只在kubernetes rbac没有pods创建绑定?

时间:2017-11-24 07:33:44

标签: kubernetes rbac

我检查了kubernetes文档,发现pods / exec资源没有动词, 并且不知道如何只控制它的访问?由于我创建了一个pod,其他人需要使用'exec'来访问它,但无法在我的群集中创建任何内容。

如何实现这个?

1 个答案:

答案 0 :(得分:19)

自己找到了解决方案。

由于pods / exec是pod的子资源,如果你想执行pod,首先需要获取pod,所以这是我的角色定义。

kind: Role apiVersion: rbac.authorization.k8s.io/v1beta1 metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods", "pods/log"] verbs: ["get", "list"] - apiGroups: [""] resources: ["pods/exec"] verbs: ["create"]