Битрикс для разработчиков
Чат экстремального погром...
Qt
symfony
Ansible
Unity Engine: вопрос - от...
Nuxt.js | Vue SSR
Боты на Telegraf
Data Science Chat
Android Architecture
QA — русскоговорящее сооб...
DBA - русскоговорящее соо...
Tarantool
Unreal Engine
☁️ AWS_RU
Blender_ru: вопрос-ответ.
MongoDB Russian
Yandex Cloud - Официальны...
Git
Big Data Science :: AI / ...
pro.kafka
3ds Max
DevsHelper
1C
Вокруг да около Zigbee
Android Declarative
freebsd_ru
Atlassian Community - Rus...
Чат про Fusion 360 и 3D
ru_gitlab
OctoberCMS
Godot Engine (Russian)
MySQL
Yii Framework 2
Data Engineers
Чат Tableau
Cinema 4D
Software Design/Architect...
Evolution CMS
Odoo talks & fun
pro.buildsystems
Webpack — русскоговорящее...
Yii Framework 3
QA juniors
RUSCADASEC community: Киб...
ru_hashicorp
Grafana Loki
VictoriaMetrics_ru
Google Cloud Platform_ru
.NET Group
DevSecOps - русскоговорящ...
![Netbeans [RU]](https://image.telq.org/channel_avatar_1102508152_467588515831589735_mini.jpeg){kind=avatar}
Netbeans [RU]
Ребята всем привет!Хочу поставить ОДИН гитлаб раннер и дать ему
права на деплой только в определенные NS
Создал сервис аккаунт
kubectl create serviceaccount test-gitlab-runner -n test
Ну и создал такого плана бинды в нейспэйсах
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: test-gitlab-runner
namespace: test
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: edit
subjects:
- kind: ServiceAccount
name: "test-gitlab-runner"
Но работает только в том неймспэйсе где задеплоин ранер, вопрос можно ли сделать так как я хочу и если да то что делаю не так ??
20 ответов
Раннер авторизуется в СервисАккаунт. СервисАккаунт привязан к роли. Роль у тебя глобальная, на уровне кластера. А вот Binding - уровня Namespace.
H
Автор вопроса
Раннер авторизуется в СервисАккаунт. СервисАккаунт...
Так я их несколько создаю
Так я их несколько создаю
Тогда смотри саму роль, какие ресурсы ей можно трогать.
H
Автор вопроса
Я же бинжу сервисный аккаунт к кластер роли, в одном нэймспэйсе работает, в другом нет
Я же бинжу сервисный аккаунт к кластер роли, в одн...
СервисАккаунт - сущность из Неймспейса. И работает только там, где был задан.
H
Автор вопроса
СервисАккаунт - сущность из Неймспейса. И работает...
Я создал одинаковые в разных неймспэсах
Я создал одинаковые в разных неймспэсах
Тогда на стороне К8с проблем не должно быть. Проверь, с каким СервисАккаунтом авторизуется твой раннер. Есть подозрение, что один и тот же.
H
Автор вопроса
Тогда на стороне К8с проблем не должно быть. Прове...
А переопределить variables: KUBERNETES_SERVICE_ACCOUNT_OVERWRITE: ci-service-account
H
Автор вопроса
А толку
Не понял ?
А переопределить variables: KUBERNETES_SERVICE_...
Ну для чего ты сделаешь переопределение?
H
Автор вопроса
Ну для чего ты сделаешь переопределение?
Что бы заюзать нужный из другого неймспэса
H
Автор вопроса
Ну для чего ты сделаешь переопределение?
Вот такую таску запускаю
Вот такую таску запускаю
А конфиг какой для kubectl?
А переопределить variables: KUBERNETES_SERVICE_...
> This approach allows you to specify a service account that is attached to the namespace Так можно только переопределять сервис-аккаунты в рамках одного неймспейса. В твоём случае раннер будет всегда попадать в один и тот же неймспейс, а именно неймспейс раннера.
H
Автор вопроса
> This approach allows you to specify a service ac...
А если вот так ? KUBERNETES_NAMESPACE_OVERWRITE:
А если вот так ? KUBERNETES_NAMESPACE_OVERWRITE:
> The Pods spawned by the runner will take place on the overwritten namespace, for simple and straight forward access between containers during the CI stages. Уже теплее :)
H
Автор вопроса
Все равно не работает ((
Все равно не работает ((
Есть доступ в кластер? Первым делом проверить, в какой Namespace попадает Pod раннера.
Все равно не работает ((
Можно юзать ClusterRoleBinding вместо RoleBinding. Это позволит раннеру, не выходя из своего неймспейса, "химичить" на уровне всего кластера. Но тут уже вопрос Security
Похожие вопросы
Обсуждают сегодня