无法在Kubernetes中将部署创建角色分配给serviceAccount

时间:2019-12-12 12:17:19

标签: kubernetes google-kubernetes-engine rbac kubernetes-deployment

我想拥有一个可以创建部署的服务帐户。所以我要创建一个服务帐户,然后创建一个角色,然后进行角色绑定。 yaml文件如下:

ServiceAccount:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: testsa
  namespace: default

角色:

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: testrole
  namespace: default
rules:
  - apiGroups:
      - ""
      - batch
      - apps
    resources:
      - jobs
      - pods
      - deployments
      - deployments/scale   
      - replicasets
    verbs:
      - create
      - delete
      - get
      - list
      - patch
      - update
      - watch
      - scale 

角色绑定:

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: testrolebinding
  namespace: default
subjects:
  - kind: ServiceAccount
    name: testsa
    namespace: default
roleRef:
  kind: Role
  name: testrole
  apiGroup: rbac.authorization.k8s.io

但是在应用这些文件之后,当我执行以下命令来检查服务帐户是否可以创建部署时,它回答否。

kubectl auth can-i --as=system:serviceaccount:default:testsa create deployment

确切的答案是: no - no RBAC policy matched

当我检查Pod时,效果很好。

我在做什么错了?

我的kubernetes版本如下:

kubectl version --short

Client Version: v1.16.1
Server Version: v1.12.10-gke.17

1 个答案:

答案 0 :(得分:2)

由于使用的是1.12群集,因此应在extensions资源的Role中包括deployments API组。

在Kubernetes 1.16中不推荐使用此方法,而推荐使用apps组:https://kubernetes.io/blog/2019/07/18/api-deprecations-in-1-16/