我目前正在尝试整合GitLab CI / CD和Rancher。我需要在kubernetes集群中运行GITLABRunner。 GitLab运行程序将创建部署,吊舱等。这里的问题是将RBAC分配给GitLab管理服务帐户。我们严格的公司政策不允许用户将角色绑定到服务帐户。这使事情变得复杂。有什么我可以尝试的方法。我已经尝试过GitLab AutoDevops和Kubernetes执行程序(作为运行程序)。
我们严格的公司政策不允许用户将角色绑定到服务帐户。
没有具有适当角色的服务帐户,无法以编程方式创建部署。
[默认RBAC策略向控制平面组件,节点和控制器授予范围内的权限,但向kube-system命名空间之外的服务帐户授予无权限(超出了对所有已认证用户的发现权限)。
这使您可以根据需要向特定的服务帐户授予特定的角色。
这就是the most secure way到目前为止要向生活在特定名称空间中的特定于应用程序的服务帐户授予角色的原因(这也是最佳实践)。
但是,使用如此严格的策略是无法实现的(服务帐户没有角色绑定)。>>
希望有所帮助。