В текущем контексте сделал деплоймент и 2 реплики, проверил наличие подов.
Создал нового сервис-юзера web-user и неймспейс web-namespace.
apiVersion: v1
kind: ServiceAccount
metadata:
name: web-user
namespace: web-namespaceЕму сделал отдельную роль logs с правами на просмотр:
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: logs
namespace: web-namespace
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "list", "watch", "logs", "describe", "get"]После этого сделал маппинг роли и юзера:
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: web-user-logs
namespace: web-namespace
subjects:
- kind: ServiceAccount
name: web-user
namespace: web-namespace
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: logsДалее посмотрeл токен юзера и вписал всё это дело в конфиг:
В результате получил работающее ограничение:
Отмасштабировал деплоймент и убедился что все поды ожили:
