我需要知道是否有任何方法可以允许用户使用 rbac 仅查看名称空间中选定的 pod 我可以允许用户查看命名空间中的所有 pod,但我无法允许选定的 pod。使用 RBAC 是否可以实现这一点,或者我应该尝试不同的方法来实现这一目标。
RBAC 似乎并没有真正直接允许限制对命名空间内特定 pod 的访问。但是您仍然可以尝试一些方法。
将 RBAC 限制为命名空间。您可以为用户分配一个 ClusterRole 或 Role,以限制对特定命名空间的访问,在这些命名空间中,用户只能对 Pod 进行读取访问。这提供了粗粒度的控制,但不允许限制单个命名空间内的可见性。
利用 Pod 标签和注释。标记您希望用户访问的 pod,并创建 ClusterRole 或角色以允许读取具有特定标签的 pod。此方法需要一致地标记您的 Pod,如果管理许多 Pod,则可能会变得复杂。
利用 Pod 安全策略 (PSP)。使用特定规则定义 PSP,根据标签、注释或其他属性定义哪些用户可以访问 pod。
实施定制解决方案。开发自定义准入控制器或 Webhook 来拦截对这些服务帐户的 pod 访问,而不是单个 pod。这可能并不适用于所有场景,并且需要管理服务帐户权限。