我有2个团队:
问题在于,在'ops'创建RBAC资源之前,'devs'无法kubectl他们的名称空间。而且'devs'本身无法创建RBAC资源,因为它们没有要放入角色绑定资源中的主题列表(共享列表不是一种选择)。
我已经阅读了有关Admission webhooks的官方文档,但据我了解,它们仅对触发Webhook的资源起作用。
无论何时创建新的名称空间,Kubernetes中都存在一种本机和/或简单的方法来应用资源吗?
与用户如何向集群进行身份验证以及他们如何获取kubeconfig文件有关。您可以在kubectl从kubeconfig使用的客户端证书中放置一个组。然后,您可以定义一个clusterrole,该clusterrole绑定到该组,从而使他们可以访问某些资源上的某些动词。