Так что кто-нибудь точно знает, что мне нужно поместить в мой ServiceAccount yaml, чтобы мне не было отказано в доступе к моему ServiceAccount, когда я пытаюсь перечислить вещи через REST API: curl https: // $ KUBERNETES_SERVICE_HOST: $ KUBERNETES_PORT_443_TCP_PORT / api / v1 / пространства имен / default / persistentvolumeclaims -X GET -k -H "Авторизация: Bearer $ (cat /var/run/secrets/kubernetes.io/serviceaccount/token)" Пользовательская "система: serviceaccount: default: my-service-service-account "не может перечислить постоянные требования к объему в пространстве имен" default ".
My RBAC serviceAccount настроен в YAML следующим образом:
apiVersion: v1
kind: ServiceAccount
metadata:
name: {{ .Values.service.name }}-service-account
labels:
app: {{ .Values.service.name }}
automountServiceAccountToken: true
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
namespace: default
name: {{ .Values.service.name }}-role
labels:
app: {{ .Values.service.name }}
rules:
- apiGroups: [""] # "" indicates the core API group
resources: ["pods"]
verbs: ["get", "watch", "list","delete"]
- apiGroups: [""] # "" indicates the core API group
resources: ["persistentvolumeclaims"]
verbs: ["get", "watch", "list","delete"]
---
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: RoleBinding
metadata:
name: {{ .Values.service.name }}-role-binding
labels:
app: {{ .Values.service.name }}
subjects:
- kind: ServiceAccount
# Reference to upper's `metadata.name`
name: {{ .Values.service.name }}-service-account
# Reference to upper's `metadata.namespace`
namespace: default
roleRef:
kind: Role
name: {{ .Values.service.name }}-role
apiGroup: rbac.authorization.k8s.io
