Добрый день. после перехода на NELM, деплой стал падать с ошибкой: werf

converge --env staging
Version: v1.2.301
Using werf config render file: /tmp/werf-config-render-1747047634
Starting release "demo" (namespace: "py-dev")
Constructing release history
Constructing chart tree
Processing resources
Fixing managed fields for resource "Deployment/demo"
Constructing new release
Constructing new deploy plan
Starting tracking
Executing deploy plan
┌ Progress status
│ RESOURCE (→READY) STATE INFO
│ Deployment/demo WAITING
└ Progress status

┌ Canceled operations
│ Update resource: Deployment/demo
└ Canceled operations

┌ Failed operations
│ Apply resource: Namespace/py-dev
└ Failed operations

Running time 0.54 seconds
Error: failed release "demo" (namespace: "py-dev"): error executing deploy plan: error waiting for operations completion: error executing operation: error applying resource: error server-side applying resource "Namespace/py-dev": namespaces "py-dev" is forbidden: User "gitlab_dis@motivtelecom.ru" cannot patch resource "namespaces" in API group "" in the namespace "py-dev"
у юзера права со стандартной ролью edit только в конкретном неймспейсе. Если поставить WERF_NELM=0, то все успешно деплоится.
При использовании NELM какие изменения вносятся в неймспейс? какие минимальные дополнительные права в кубере нужны для внесения этих изменений?

А вы перед первым релизом руками неймспейс создаете? Без werf?

Неймспейсы создаются отдельно от релиза, в кубер специальный оператор создаёт неймспейсы и rbac для разных команд. Werf в создании неймспейсов не участвует

Я понял, наша недоработка, менеджмент релизного неймспейса надо доработать. Пока либо дайте права на patch для namespaces (у этой роли их нет), либо пока выключите новый движок (export WERF_NELM=0).

Как временное решение проще WERF_NELM=0. Спасибо