题目
一个名为web-pod的现有Pod已在 namespace db中运行。
编辑绑定到 Pod 的 ServiceAccount service-account-web的现有Role,仅允许只对 services类型的资源执行 get操作。
在namespace db中创建一个名为role-2 ,并仅允许只对 namespaces类型的资源执行delete操作的新 Role。
创建一个名为role-2-binding的新 RoleBinding,将新创建的 Role 绑定到 Pod 的ServiceAccount。
注意:请勿删除现有的 RoleBinding。
参考
解答
查看role的名称
kubectl describe rolebindings -n db
比如查出来role-1
编辑role-1
kubectl edit role role-1 -n db
rules:
- apiGroups: [""]
resources: ["services"]
verbs: ["get"]
创建新的role及rolebanding(这个和CKA考的差不多)
kubectl create role role-2 --verb=delete --resource=namespaces -n db
kubectl create rolebinding role-2-binding --role=role-2 --serviceaccount=db:service-account-web -n db