在Kubernetes(k8s)里,若要挂载其他命名空间中的Secret,你可以通过创建一个 Secret 的 ServiceAccount 和 RoleBinding 来实现对其他命名空间 Secret 的访问,接着在 Pod 中挂载这个 Secret。下面是详细的步骤和示例代码:
步骤
- 创建
ServiceAccount:在要挂载Secret的命名空间里创建一个ServiceAccount。 - 创建
Role与RoleBinding:在包含Secret的命名空间创建一个Role以及RoleBinding,以此赋予ServiceAccount访问Secret的权限。 - 在
Pod中使用ServiceAccount并挂载Secret:在Pod定义里运用ServiceAccount,并且挂载Secret。
示例代码
下面是一系列的 YAML 文件,用来实现上述步骤。
1. 创建 ServiceAccount
在要挂载 Secret 的命名空间(假设为 target-namespace)创建 ServiceAccount:
yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: secret-reader
namespace: target-namespace2. 创建 Role 和 RoleBinding
在包含 Secret 的命名空间(假设为 source-namespace)创建 Role 和 RoleBinding:
yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
name: secret-reader-role
namespace: source-namespace
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["get", "watch", "list"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: secret-reader-rolebinding
namespace: source-namespace
subjects:
- kind: ServiceAccount
name: secret-reader
namespace: target-namespace
roleRef:
kind: Role
name: secret-reader-role
apiGroup: rbac.authorization.k8s.io3. 在 Pod 中使用 ServiceAccount 并挂载 Secret
在 target-namespace 里创建一个 Pod,使用 ServiceAccount 并挂载 Secret:
yaml
apiVersion: v1
kind: Pod
metadata:
name: my-pod
namespace: target-namespace
spec:
serviceAccountName: secret-reader
containers:
- name: my-container
image: nginx
volumeMounts:
- name: secret-volume
mountPath: "/etc/secret"
readOnly: true
volumes:
- name: secret-volume
secret:
secretName: my-secret
namespace: source-namespace解释
ServiceAccount:在target-namespace创建的secret-readerServiceAccount用于给Pod授予访问权限。Role和RoleBinding:在source-namespace创建的Role和RoleBinding赋予secret-readerServiceAccount访问Secret的权限。Pod:在target-namespace创建的Pod使用secret-readerServiceAccount,并且挂载source-namespace中的my-secretSecret。
操作步骤
- 把上述 YAML 文件保存为不同的文件,例如
serviceaccount.yaml、role.yaml和pod.yaml。 - 依次执行以下命令:
bash
kubectl apply -f serviceaccount.yaml
kubectl apply -f role.yaml
kubectl apply -f pod.yaml这样,Pod 就能成功挂载其他命名空间中的 Secret 了。