授予 pod 访问权限以创建新的命名空间

要让 pod 控制 Kubernetes 中的某些内容，您至少需要四件事：

1. 创建或选择现有的

   Role

   /

   ClusterRole

   （您选择了

   administer-cluster

   ，我不知道哪些规则）。
2. 创建或选择现有

   ServiceAccount

   （您在命名空间

   k8s-deployer

   中创建了

   tooling

   ）。
3. 将两者放在一起

   RoleBinding

   /

   ClusterRoleBinding

   。
4. 将

   ServiceAccount

   分配给 Pod。

这是一个可以管理命名空间的示例：

# Create a service account
apiVersion: v1
kind: ServiceAccount
metadata:
  name: k8s-deployer
  namespace: tooling
---
# Create a cluster role that allowed to perform 
# ["get", "list", "create", "delete", "patch"] over ["namespaces"]
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: k8s-deployer
rules:
  - apiGroups: [""]
    resources: ["namespaces"]
    verbs: ["get", "list", "create", "delete", "patch"]
---
# Associate the cluster role with the service account
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: k8s-deployer
  # make sure NOT to mention 'namespace' here or
  # the permissions will only have effect in the
  # given namespace
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: k8s-deployer
subjects:
- kind: ServiceAccount
  name: k8s-deployer
  namespace: tooling

之后，您需要像之前一样在 pod

spec

您还需要添加 watch 动词。否则，如果您尝试删除命名空间，您会收到以下错误：

E0122 14：44：10.254508 9786 Reflector.go：147]供应商/k8s.io/client-go/tools/watch/informerwatcher.go：146：无法观看*非结构化。非结构化：未知