我目前正在尝试整合GitLab CI / CD和Rancher。我需要在kubernetes集群中运行GITLABRunner。 GitLab运行程序将创建部署,吊舱等。这里的问题是将RBAC分配给GitLab管理服务帐户。我们严格的公司政策不允许用户将角色绑定到服务帐户。这使事情变得复杂。有什么我可以尝试的方法。我已经尝试过GitLab AutoDevops和Kubernetes执行程序(作为运行程序)。
答案 0 :(得分:0)
我们严格的公司政策不允许用户将角色绑定到服务帐户。
如果没有具有适当角色的服务帐户,则无法以编程方式创建部署。
默认RBAC策略向控制平面组件,节点和控制器授予范围内的权限,但向kube-system命名空间之外的服务帐户授予没有权限(除了授予所有已验证身份的发现权限之外)用户)。
这使您可以根据需要向特定服务帐户授予特定角色。
这就是为什么the most secure way到目前为止将角色分配给驻留在特定名称空间中的特定于应用程序的服务帐户的原因(这也是最佳做法)。
但是,使用如此严格的策略(服务帐户没有角色绑定)是无法实现的。
希望有帮助。