Welche Standardberechtigungen hat das Standarddienstkonto?

Question

Angenommen, ich habe einen frischen Kubernetes-Cluster eingerichtet. Ich nehme an, die beiden kube-system und default Namespaces erhalten ein Dienstkonto mit dem Namen default? Welche Berechtigungen hat dieses Dienstkonto? Vollständige Lese-/Schreibberechtigungen?

Ich bitte im Wesentlichen darum, Best Practices zu verstehen, um einem benutzerdefinierten Go-Controller Schreibzugriff auf Ressourcen zu geben.

Answer 1

Dienstkonten haben keine eigenen Berechtigungen. Die Berechtigungen, die sie haben, hängen vollständig vom konfigurierten Berechtigungsmodus ab (--authorization-mode Flag, das an den Apiserver übergeben wird)

Das Definieren von RBAC-Rollen ist eine gute Methode zum Festlegen der Berechtigungen, die für einen Controller erforderlich sind.

Es gibt vorhandene Rollendefinitionen für In-Tree-Controller unter https://github.com/kubernetes/kubernetes/tree/master/plugin/pkg/auth/authorizer/rbac/bootstrappolicy