无法获得ServiceAccount正确工作的kubeconfig

Question

我在创建名称空间、服务帐户、角色、角色绑定和kubeconfig文件时遇到了问题。

在未来，我们将有多个团队/应用程序在Kubernetes上登陆，我想为每个团队创建一个名称空间。我们在Azure (AKS)上使用Kubernetes (AKS)，而默认创建的kubeconfig并不仅仅是移交给所有球队。因此，我想我应该为每个名称空间创建一个serviceaccount，并创建一个角色+ rolebinding。所以我在本地用迷你车试了一下。

我首先创建了以下资源：

​

​

然后，我为服务帐户创建了配置文件：

​

但是有了这个配置文件，我仍然可以看到所有名称空间中的所有资源，而且我也不知道自己做错了什么。希望有人能帮我。

亲切的问候，布拉姆

Answer 1

您的配置看起来很好，但是服务帐户是为从集群内部访问Kubernetes或通过其他服务访问它而设计的。

在您的示例中，更好的选择是使用带有角色绑定的User。

这是一个来自Bitnami的好的教学如何做到这一点。

用几句话来说，你应该：

1. 创建用户凭据
2. 创建用于管理部署的角色
3. 将角色绑定到员工用户

关于您的问题，请检查您的Minikube配置，并确保RBAC已启用。

您可以使用--extra-config=apiserver.Authorization.Mode=RBAC选项启动具有强制RBAC授权的minikube。