假设我建立了一个新的Kubernetes集群。我假设kube-system和default名称空间都将获得名为default的服务帐户?该服务帐户具有哪些权限?完全读/写权限?
我基本上要求它理解为自定义Go控制器提供对资源的写访问权的最佳实践。
答案 0 :(得分:3)
服务帐户没有固有权限。它们的权限完全取决于配置的授权模式(传递给apiserver的--authorization-mode标志)
定义RBAC角色是指定控制器所需权限的好方法。
https://github.com/kubernetes/kubernetes/tree/master/plugin/pkg/auth/authorizer/rbac/bootstrappolicy
的树内控制器现有角色定义