K8S中若要挂载其他命名空间中的 Secret

在Kubernetes(k8s)里,若要挂载其他命名空间中的Secret,你可以通过创建一个 SecretServiceAccountRoleBinding 来实现对其他命名空间 Secret 的访问,接着在 Pod 中挂载这个 Secret。下面是详细的步骤和示例代码:

步骤

  1. 创建 ServiceAccount :在要挂载 Secret 的命名空间里创建一个 ServiceAccount
  2. 创建 RoleRoleBinding :在包含 Secret 的命名空间创建一个 Role 以及 RoleBinding,以此赋予 ServiceAccount 访问 Secret 的权限。
  3. Pod 中使用 ServiceAccount 并挂载 Secret :在 Pod 定义里运用 ServiceAccount,并且挂载 Secret

示例代码

下面是一系列的 YAML 文件,用来实现上述步骤。

1. 创建 ServiceAccount

在要挂载 Secret 的命名空间(假设为 target-namespace)创建 ServiceAccount

yaml 复制代码
apiVersion: v1
kind: ServiceAccount
metadata:
  name: secret-reader
  namespace: target-namespace
2. 创建 RoleRoleBinding

在包含 Secret 的命名空间(假设为 source-namespace)创建 RoleRoleBinding

yaml 复制代码
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: secret-reader-role
  namespace: source-namespace
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get", "watch", "list"]

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: secret-reader-rolebinding
  namespace: source-namespace
subjects:
- kind: ServiceAccount
  name: secret-reader
  namespace: target-namespace
roleRef:
  kind: Role
  name: secret-reader-role
  apiGroup: rbac.authorization.k8s.io
3. 在 Pod 中使用 ServiceAccount 并挂载 Secret

target-namespace 里创建一个 Pod,使用 ServiceAccount 并挂载 Secret

yaml 复制代码
apiVersion: v1
kind: Pod
metadata:
  name: my-pod
  namespace: target-namespace
spec:
  serviceAccountName: secret-reader
  containers:
  - name: my-container
    image: nginx
    volumeMounts:
    - name: secret-volume
      mountPath: "/etc/secret"
      readOnly: true
  volumes:
  - name: secret-volume
    secret:
      secretName: my-secret
      namespace: source-namespace

解释

  • ServiceAccount :在 target-namespace 创建的 secret-reader ServiceAccount 用于给 Pod 授予访问权限。
  • RoleRoleBinding :在 source-namespace 创建的 RoleRoleBinding 赋予 secret-reader ServiceAccount 访问 Secret 的权限。
  • Pod :在 target-namespace 创建的 Pod 使用 secret-reader ServiceAccount,并且挂载 source-namespace 中的 my-secret Secret

操作步骤

  1. 把上述 YAML 文件保存为不同的文件,例如 serviceaccount.yamlrole.yamlpod.yaml
  2. 依次执行以下命令:
bash 复制代码
kubectl apply -f serviceaccount.yaml
kubectl apply -f role.yaml
kubectl apply -f pod.yaml

这样,Pod 就能成功挂载其他命名空间中的 Secret 了。

相关推荐
虚伪的空想家30 分钟前
rook-ceph配置dashboard代理无法访问
ceph·云原生·k8s·存储·rook
庸子3 小时前
基于Jenkins和Kubernetes构建DevOps自动化运维管理平台
运维·kubernetes·jenkins
Lpy25693 小时前
Docker Desktop 安装到D盘(包括镜像下载等)+ 汉化
运维·docker·容器
好奇的菜鸟4 小时前
Docker 配置项详解与示例
运维·docker·容器
Connie14516 小时前
k8s多集群管理中的联邦和舰队如何理解?
云原生·容器·kubernetes
IT成长日记10 小时前
【Docker基础】Docker数据卷管理:docker volume inspect及其参数详解
运维·docker·容器·volume·inspect
伤不起bb10 小时前
Kubernetes 服务发布基础
云原生·容器·kubernetes
ladymorgana10 小时前
【Docker】如何设置 `wiredTigerCacheSizeGB` 和 `resources.limits.memory`
运维·docker·容器
mcdx10 小时前
基于Docker构建OrangePi5 SDK环境
docker·容器
国际云,接待12 小时前
微软服务器安全问题
运维·服务器·云原生·云计算·azure