11. Kubernetes 内部的安全配置 (11. Security Configurations Inside Kubernetes) | Spring Cloud KubernetesThis reference guide covers how to use Spring Cloud Kubernetes.中文文档|Spring官方文档|SpringBoot 教程|Spring中文网

11. Kubernetes 内部的安全配置

11.1. 命名空间

该项目提供的大多数组件都需要知道命名空间。对于 Kubernetes （1.3+），命名空间作为服务帐户密钥的一部分提供给 Pod，并由客户端自动检测。对于早期版本，需要将其指定为 Pod 的环境变量。执行此作的快速方法如下：spring-doc.cadn.net.cn

      env:
      - name: "KUBERNETES_NAMESPACE"
        valueFrom:
          fieldRef:
            fieldPath: "metadata.namespace"

11.2. 服务账户

对于支持集群内更细粒度的基于角色的访问的 Kubernetes 发行版，您需要确保 Pod 与spring-cloud-kubernetes有权访问 Kubernetes API。对于分配给部署或 Pod 的任何服务帐户，您需要确保它们具有正确的角色。spring-doc.cadn.net.cn

根据要求，您需要get,list和watch对以下资源的权限：spring-doc.cadn.net.cn

表 4.Kubernetes 资源权限
Dependency	资源
spring-cloud-starter-kubernetes-fabric8spring-doc.cadn.net.cn	Pod、服务、端点spring-doc.cadn.net.cn
spring-cloud-starter-kubernetes-fabric8-configspring-doc.cadn.net.cn	配置映射、密钥spring-doc.cadn.net.cn
spring-cloud-starter-kubernetes-clientspring-doc.cadn.net.cn	Pod、服务、端点spring-doc.cadn.net.cn
spring-cloud-starter-kubernetes-client-configspring-doc.cadn.net.cn	配置映射、密钥spring-doc.cadn.net.cn

出于开发目的，您可以将cluster-reader权限default服务帐户。在生产系统上，你可能希望提供更精细的权限。spring-doc.cadn.net.cn

以下 Role 和 RoleBinding 是default帐户：spring-doc.cadn.net.cn

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: YOUR-NAME-SPACE
  name: namespace-reader
rules:
  - apiGroups: [""]
    resources: ["configmaps", "pods", "services", "endpoints", "secrets"]
    verbs: ["get", "list", "watch"]

---

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: namespace-reader-binding
  namespace: YOUR-NAME-SPACE
subjects:
- kind: ServiceAccount
  name: default
  apiGroup: ""
roleRef:
  kind: Role
  name: namespace-reader
  apiGroup: ""