• huan
    2018-10-22
    kind: ClusterRoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      name: readonly-all-default
    subjects:
    - kind: User
      name: system.serviceaccount.default
    roleRef:
      kind: ClusterRole
      name: view
      apiGroup: rbac.authorization.k8s.io
    展开
     4
     25
  • 喜剧。
    2018-11-28
    kind: ClusterRoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
    name: readonly-all-default
    subjects:
    - kind: ServiceAccount
    name: system.serviceaccount.default
    roleRef:
    kind: ClusterRole
    name: view
    apiGroup: rbac.authorization.k8s.io

    前面的朋友写的问题在于,default应该是serciveacount
    展开
     2
     14
  • 张振宇
    2019-02-23
    老师rbac怎么结合企业自己的ldap用户数据进行外部登录自研的web平台
    
     5
  • 无痕飞客
    2018-10-22
    老师,怎么优雅的卸载掉kubernetes呢?

    作者回复: kubeadm reset

    
     5
  • yuanlinios
    2018-12-28
    虽然 clusterrole/clusterrolebinding 不受 namespace 限制, 但是 serviceaccount 总是存在于 namespace 下. 为一个 namespace 下的 default sa 做只读限制很容易. 那么怎么为"所有" (包括现有的和未来的) 的 namespace 下的 default sa 做只读的限制? 希望给点提示

    
     2
  • 单朋荣
    2018-12-11
    为什么要生命这类service account,不能直接使用role进行权限分配吗?这个中间代理的好处是啥呢?

    作者回复: 所有的中间层都是为了解耦

    
     2
  • runner
    2018-10-23
    老师还是之前的问题,现在机器上有一个手动起的容器(比如是老的业务容器),想把他加到pod里管理起来,比如pod生成的时候发现已经有这个容器了,就关联这个容器,不再创建了。有办法实现么?

    作者回复: kubernetes 里最小的调度单位是pod,所以不可以的

    
     2
  • 虎虎❤️
    2018-10-22
    但在这种情况下,这个默认 ServiceAccount 并没有关联任何 Role。也就是说,此时它有访问 APIServer 的绝大多数权限。
    为什么没有关联role,就会有绝大多数权限呢?有一个默认的role么,都有什么权限呢?

    另外,建议在所有的namespace给default serviceaccount绑定view,是出于安全的考虑是么?

    作者回复: 就是为了安全。role是用来做限制的,你没限制当然就撒野了。

    
     2
  • tianfeiyu
    2019-08-09
    老师,我就想问一下,namespace 下的 default sa 没有关联任何 role,它到底有哪些权限呢?
    
     1
  • 蜗牛
    2018-10-26
    role roleBanding serviceAccount 都是 namespaced , 那跨namespace 操作会怎么样?

    作者回复: 找不到对象

     1
     1
  • 吕凯 🌴
    2018-10-24
    我是使用的二进制方式部署,ClusterRole为system:kube-scheduler绑定到system:kube-scheduler用户,跟kube-system namespace无关
    
     1
  • 看不穿
    2018-10-23
    老师,问个网络问题,如果集群外部想访问集群里面的pod服务,可以用ingress或者NodePort实现;那请问pod想访问集群外部的服务应该怎么办?
    
     1
  • 无痕飞客
    2018-10-22
    老师,我kubernetes安装好了,怎么停止启动的kube进程并且卸载掉kubernetes呢?

    作者回复: kubeadm reset

    
     1
  • Dillion
    2018-10-22
    system:serviceaccount:<ServiceAccount 名字 >
    老师,这个ServiceAccount名字前面,是不是应该还有namespace
    
     1
  • Geek_zz
    2018-10-22
    rbac 和token是怎么联系的呢
    
     1
  • tangzc1
    2020-01-10
    kind: ClusterRoleBinding
    apiVersion: rbac.authorization.k8s.io/v1
    metadata:
      name: readonly-all-default
    subjects:
      - kind: ServiceAccount
      name: system:serviceaccount:default
    roleRef:
      kind: ClusterRole
      name: view
      apiGroup: rbac.authorization.k8s.io
    我觉得问题本身存在歧义,“如何为所有 Namespace 下的默认 ServiceAccount(default ServiceAccount),绑定一个只读权限的 Role 呢?”是各ns下的default sa对本ns中的api只读还是各ns下的default sa对所有ns中的api只读,我上面写的答案应该是第二种情况。
    展开
    
    
  • 窗外
    2019-10-15
    为了学习此课程,因为kubernetes是基于golang语言。所以最近还特地学习了go语言的一些基础知识,但是没有linux运维经验,目前拥有的运维经验大多都是在windows上,linux只会进行一些普通的部署。
    望老师指点迷津,谢谢。
    
    
  • 窗外
    2019-10-15
    老师你好,我是一个开发人员。由于公司特殊的人员结构,我们需要兼做运维的工作。
    前面看过的章节中提到过,看完此书可以变成kubernets玩家。但是这个对于我的要求来说太高啦,我只想快速上手kubernetes来部署容器化的应用。
    因为以前公司的项目都是采用的单体架构,所有组件都是需要按个安装,有docker之后当然不需要这样操作了。但是有了容器,就需要kubernets这样的平台来支撑。
    而看过的一些有kubernetes云服务的公司:如腾讯云的容器托管服务也是基于kubernetes的。
    前面的章节都挨个看下来了,但是由于缺乏linux下的系统知识和运维经验,所以学习起来很累。
    望老师给个学习路线,怎么样上手kubernetes,只要能熟练的应用就是达到我的目标了。

    展开
    
    
  • tuyu
    2019-10-05
    控制器模式不难是因为代码都写好了.......
    
    
  • 骏骏
    2019-09-11
    老师,那我自研的程序如何接入API呢,就好比最简单的,我想写个PY脚本获取所有的POD列表 该怎么写RABC。
    
    
我们在线,来聊聊吧