У меня проблема с настройкой доступа к кластеру Kubernetes извне. Вот чего я пытаюсь достичь: - Иметь возможность доступа к кластеру куба извне (с узлов, которые не являются «ведущими» и даже с любого удаленного компьютера), чтобы иметь возможность выполнять действия куба только в определенном пространстве имен.
Моя логика заключалась в следующем:
- Создайте новое пространство имен (назовем его testns)
- Создать сервисный аккаунт (testns-account)
- Создать роль, которая дает доступ для создания любого типа ресурса куба внутри пространства имен testns.
- Создание привязки роли, которая связывает учетную запись службы с ролью
- Сгенерировать токен из сервисного аккаунта
Моя логика заключалась в том, что мне нужен URL-адрес сервера token + api для доступа к кластеру kube с ограниченными «разрешениями», но этого, похоже, недостаточно.
Каким будет самый простой способ добиться этого? Для начала я мог бы получить доступ с помощью kubectl, просто чтобы проверить, что ограниченные разрешения на работу с пространством имен, но в конечном итоге у меня будет некоторый код на стороне клиента, который выполняет доступ и создает ресурсы kube с этими ограниченными разрешениями.