例如,我更改角色动词
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: provisioning-role
rules:
- apiGroups: ["apps"]
resources: ["deployments"]
verbs: ["get", "list", "watch"]
并运行头盔upgrade。绑定到这些角色的Pod是否应该重新启动/替换? (那些吊舱可以在没有头盔的情况下手动创建。)
答案 0 :(得分:1)
无需重新创建广告连播。创建Role / RoleBinding或ClusterRole / ClusterRoleBinding时,实体会立即自动获得这些权限。
一个证明曾经是头盔本身。全新安装Helm时,您会从Tiller收到此错误,说它无权执行任何操作,但随后您授予Tiller cluster-role(或其他任何更多谨慎的权限)权限,它立即开始工作。 / p>
答案 1 :(得分:0)
这取决于您的广告连播正在使用的ServiceAccount。
假设您正在使用默认ServiceAccount 作为已部署Pod。然后,要使pod拥有对资源,动词等的其他访问权限,必须通过ClusterRole将ServiceAccount绑定到该ClusterRoleBinding。
如果您的ServiceAccount当前未绑定到您的广告连播,则必须执行ClusterRoleBinding,然后通过设计字段{{1 }}。 请注意,您无法更新已创建的广告连播的ServiceAccount。在这种情况下,您必须重新启动它。
这是更详细的信息:enter link description here