是否可以限制特定用户从存储类动态预配磁盘的能力?或者,例如,仅允许特定的名称空间使用存储类?
答案 0 :(得分:1)
警告:我还没有测试!
StorageClass只是一个API端点,RBAC通过限制对这些端点的访问来工作,因此从理论上讲,这应该可以正常工作:
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: sc_access
rules:
- apiGroups: ["storage.k8s.io", "core" ]
resources: [ "storageclass" ]
verbs: ["get", "list", "watch", "create", "update", "patch", "delete"]
如果这不起作用,您可以直接通过NonResourceUrls选项限制访问:
rules:
- nonResourceURLs: ["/storage.k8s.io/v1/storageclasses"]
verbs: ["get", "post"]
答案 1 :(得分:0)
Storage resource quota可用于限制存储类的使用