Я пытаюсь найти минимальные привилегии, необходимые для того, чтобы приложение могло общаться в кубернетах для следующих сценариев.
- Приложение1 находится в пространстве имен 1, а приложение2 - в пространстве имен 2
- Приложение 1 находится в кластере 1, а приложение 2 - в кластере 2
Я развернул образец приложения в своем кластере (https://github.com/kubernetes/kubernetes/tree/release-1.2/examples/guestbook) в двух разных пространствах имен
Несмотря на то, что я связываю эти приложения со служебной учетной записью, у меня нет привилегий в соответствующих пространствах имен, мое приложение php все еще может подключаться к приложению Redis. Я ожидал, что он выдаст ошибку, как мои приложения работают даже после того, как моей учетной записи службы не было роли
Ниже приведена роль, которую я связал с моей учетной записью службы.
apiVersion: rbac.authorization.k8s.io/v1beta1
kind: Role
metadata:
name: no-access-cr
rules:
- apiGroups: [""] # "" indicates the core API group
resources: [""]
verbs: [""]
Любезно помочь!!!
my php application is still able to reach redis application.
Если вы хотите заблокировать сеть, проверьте NetworkPolicy. kubernetes.io/docs/concepts/services-networking/ - person hoque   schedule 19.04.2020networking.k8s.io/v1
в apiGroups и проверить? - person hoque   schedule 19.04.2020