最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于Rolebinding的题目。
Question 1
The buffy Pod in the sunnydale namespace has a buffy-sa ServiceAccount with permissions the Pod doesn’t need. Modify the attached Role so that it only has the ability to list pods.
Then, create a new Role called watch-services-secrets that grants permission to watch, services, and secrets.
Bind the Role to the ServiceAccount with a RoleBinding called buffy-sa-watch-rb.
这段话的意思是:在 Sunnydale 命名空间中的 buffy Pod 有一个名为 buffy-sa 的 ServiceAccount,该 ServiceAccount 具有 Pod 不需要的权限。修改附加的 Role,使其只能具有列出 Pod 的能力。 然后,创建一个名为 watch-services-secrets 的新 Role,该 Role 授予观看 services 和 secrets 的权限。 使用名为 buffy-sa-watch-rb 的 RoleBinding 将该 Role 绑定到该 ServiceAccount。
Practice
修改 sunnydale下的rolebinding
先查看sunnydale下面的rolebinding然后对rolebinding进行修改
# 获取sunnydale下面的rolebinding
kubectl get rolebinding -n sunnydale
# 获取buffy-rb下面的rolebinding的serviceaccount name
kubectl describe rolebinding -n sunnydale buffy-rb
可以看到buffy-rb对应绑定的role是buffy-role
修改buffy-role
修改需要达到一下目的
- 只能列出pod的能力
kubectl edit role buffy-role
修改成以下内容:
创建watch-services-secrets新的role
Tips:如果你不知道怎么创建,可以参照上面我们修改的这个yaml文件进行修改
vi watch-services-secrets.yml
kubectl create -f watch-services-secrets.yml
好了 现在你就讲role创建好了
Bind the role to a SA
如果你不知道怎么绑定,在考试的时候你可以参考buffy-role是怎么绑定的
创建新的rolebinding
kubectl create -f buffy-sa-watch-rb.yml
Question 2
A Pod in the cluster cannot be created properly because its ServiceAccount is misconfigured.
The Pod is meant to live in the bespin namespace. Delete the existing ServiceAccount from this namespace.
Create a new ServiceAccount called lando-sa.
Configure the Pod to use the lando-sa ServiceAccount.
Create the Pod.
这个问题的意思是在集群中的一个 Pod 无法正确创建,因为它的 ServiceAccount 配置有误。
这个 Pod 应该存在于 bespin 命名空间中。首先删除该命名空间下已存在的 ServiceAccount。 创建一个名为 lando-sa 的新的 ServiceAccount。 配置 Pod 使用 lando-sa ServiceAccount。 最后创建 Pod。
查看bespin下面的serviceaccount
kubectl get serviceaccount -n bespin
删除查找到的serviceaccount
kubectl delete serviceaccount -n bespin lando
创建新的serviceaccount lando-sa
kubectl create serviceaccount -n bespin lando-sa
创建pod(pod文件已经存在 你只需要修改serviceAccountName就可以了)
kuebctl create -f lando.yml
![[含文档+PPT+源码等]精品基于springboot实现的原生Andriod广告播放系统](https://img-blog.csdnimg.cn/img_convert/9712d05a587aeaa0c4375e907275109d.jpeg)
![【汇编语言】[BX]和loop指令(四)—— 汇编语言中的段前缀与内存保护:原理与应用解析](https://i-blog.csdnimg.cn/direct/173914fdc82d4ec991e9a53b97e9fac1.gif#pic_center)
