外部から kubernetes クラスターへのアクセスを設定するのに問題があります。これは私が達成しようとしていることです: - 外部から (「マスター」ではないノードから、さらには任意のリモートから) kube クラスターにアクセスして、特定の名前空間でのみ kube アクションを実行できるようにします。
私の論理は次のようにすることでした:
- 新しい名前空間を作成します (testns と呼びましょう)
- サービス アカウント (testns-account) を作成する
- testns 名前空間内に任意のタイプの kube リソースを作成するためのアクセス権を付与するロールを作成します
- サービス アカウントをロールにバインドするロール バインディングを作成する
- サービス アカウントからトークンを生成する
さて、私の論理は、限られた「許可」でkubeクラスターにアクセスするにはトークン+ APIサーバーURLが必要であるということでしたが、それだけでは十分ではないようです。
これを達成する最も簡単な方法は何ですか?最初は、名前空間に対する制限されたアクセス許可が機能することを確認するためだけに kubectl でアクセスできましたが、最終的には、アクセスを実行し、これらの制限されたアクセス許可で kube リソースを作成するクライアント側のコードが必要になります。