我的命名空间包含多个秘密和 pod。使用部署规范将秘密作为卷有选择地挂载在 pod 上。是否可以拒绝特定的秘密在某些 pod 中被挂载为卷。我测试过RBAC,它可以防止pods通过api访问秘密。考虑到允许将所有秘密挂载在同一命名空间的 pod 中存在安全风险,是否有类似的机制用于挂载秘密。
另一个答案是正确的,但为了完整起见,你可以写一个接纳控制器,根据某种策略检查请求。这就是内置的NodeRestriction接纳控制器所做的事情,以帮助限制事情,所以kubelet只能访问它应该运行的pods的秘密。