无法获取kubeconfig以使ServiceAccount正常工作

时间:2018-04-12 10:40:43

标签: kubernetes

我在创建名称空间,服务帐户,角色,角色绑定和kubeconfig文件时遇到问题。

将来我们将有多个团队/应用程序登陆Kubernetes,我想为每个团队创建一个命名空间。 我们正在使用Azure上的Kubernetes(AKS),默认创建的kubeconfig并不能简单地移交给所有团队。所以我想我会为每个命名空间创建一个serviceaccount并创建一个角色+ rolebinding。 所以我用minikube在本地试了一下。

我首先创建了资源:

enter image description here

然后我为serviceaccount创建了配置文件: enter image description here

但是使用这个配置文件,我仍然可以看到所有命名空间中的所有资源,但我无法弄清楚我做错了什么。希望有人可以帮助我。

亲切的问候, BRAM

1 个答案:

答案 0 :(得分:0)

您的配置看起来很顺利,但服务帐户旨在从群集内部访问Kubernetes或通过其他服务访问它。

在您的情况下,更好的选择是使用带有角色绑定的User

来自Bitnami的good instruction如何做到这一点。

简而言之,你应该:

  1. 创建用户凭据
  2. 创建管理部署的角色
  3. 将角色绑定到员工用户
  4. 关于您的问题,请检查您的Minikube配置并确保已启用RBAC。

    您可以使用--extra-config=apiserver.Authorization.Mode=RBAC选项启动强制RBAC授权的minikube。