在实际k8s的应用中可能会限制用户对namespace的访问,一个账号访问多个namespaces 情况,经过测试后设置如下,
创建一个账号,创建sa后系统会自动创建一个kubernetes.io/service-account-token类型的secret
kubectl create serviceaccount updateuser
绑定集群权限,(分别绑定在两个不通的namespaces,绑定哪个namesapce就有哪个namespace相应的权限)
kubectl create rolebinding updateuser --clusterrole=system:controller:deployment-controller --serviceaccount=default:updateuser --namespace=default
kubectl create rolebinding updateuser --clusterrole=system:controller:deployment-controller --serviceaccount=default:updateuser --namespace=kube-system
查看
[root@k8s-master01 rbac]# kubectl describe rolebinding updateuser
Name: updateuser
Labels: <none>
Annotations: <none>
Role:
Kind: ClusterRole
Name: system:controller:deployment-controller
Subjects:
Kind Name Namespace
----