Спинакер с ограниченным доступом к namspace

Я пытаюсь настроить спинакер с кубернетами и получаю сообщение об ошибке: пользователь не может указать пространство имен.

У меня нет доступа к пространству имен списка в области кластера. Можно ли настроить и применить конфигурацию hal без доступа к пространствам имен списков в области кластера? если да, дайте мне знать шаги.

Ниже я упоминаю эту команду для справки:

hal deploy apply
+ Get current deployment
  Success
- Prep deployment
  Failure
Problems in default.provider.kubernetes.my-k8s-account:
! ERROR Unable to communicate with your Kubernetes cluster: Failure
  executing: GET at: https://<company>/api/v1/namespaces. Message:
  Forbidden! User apc doesn't have permission. namespaces is forbidden: User
  "system:anonymous" cannot list namespaces at the cluster scope..
? Unable to authenticate with your Kubernetes cluster. Try using
  kubectl to verify your credentials.

- Failed to prep Spinnaker deployment

$ kubectl get ns
No resources found.
Error from server (Forbidden): namespaces is forbidden: User "ds:uid:2319639648" cannot list namespaces at the cluster scope

С уважением, Аджаз


kubernetes spinnaker spinnaker-halyard
person FNU    schedule 20.09.2018    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Короткий ответ: нет.

Вы можете попытаться заставить администратора предоставить вам доступ к _1 _ + _ 2_, у которого есть доступ к чтениям пространств имен.

Что-то вроде этого:

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: namespace-reader
rules:
- apiGroups: [""]
  resources: ["namespaces"]
  verbs: ["get", "watch", "list"]

---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: read-all-namespaces
subjects:
- kind: User
  name: your-user
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: ClusterRole
  name: namespace-reader
  apiGroup: rbac.authorization.k8s.io
person Rico    schedule 20.09.2018

arrow_upward
1
arrow_downward

Вы можете сделать это без ClusterRole. Протестировано, работает как положено.

См. инструкцию.

Настроить Спинакер для установки в Kubernetes

Важно: по умолчанию это ограничивает развертывание вашего Spinnaker в указанном пространстве имен. Если вы хотите иметь возможность развертывания в других пространствах имен, либо добавьте вторую цель облачного провайдера, либо удалите флаг --namespaces.

Используйте инструмент командной строки Halyard hal, чтобы настроить Halyard для установки Spinnaker в вашем кластере Kubernetes.

hal config deploy edit \
  --type distributed \
  --account-name ${ACCOUNT_NAME} \
  --location ${NAMESPACE}
person RocketRaccoon    schedule 08.07.2019