无法获取kubeconfig以使ServiceAccount正常工作

Question

我在创建名称空间，服务帐户，角色，角色绑定和kubeconfig文件时遇到问题。

将来我们将有多个团队/应用程序登陆Kubernetes，我想为每个团队创建一个命名空间。 我们正在使用Azure上的Kubernetes（AKS），默认创建的kubeconfig并不能简单地移交给所有团队。所以我想我会为每个命名空间创建一个serviceaccount并创建一个角色+ rolebinding。 所以我用minikube在本地试了一下。

我首先创建了资源：

然后我为serviceaccount创建了配置文件：

但是使用这个配置文件，我仍然可以看到所有命名空间中的所有资源，但我无法弄清楚我做错了什么。希望有人可以帮助我。

亲切的问候， BRAM

Answer 1

您的配置看起来很顺利，但服务帐户旨在从群集内部访问Kubernetes或通过其他服务访问它。

在您的情况下，更好的选择是使用带有角色绑定的User。

来自Bitnami的good instruction如何做到这一点。

简而言之，你应该：

1. 创建用户凭据
2. 创建管理部署的角色
3. 将角色绑定到员工用户

关于您的问题，请检查您的Minikube配置并确保已启用RBAC。

您可以使用--extra-config=apiserver.Authorization.Mode=RBAC选项启动强制RBAC授权的minikube。