Kubernetes pod 上禁止 cronjobs.batch

Question

我是 Kubernetes 管理的新手。在尝试列出和设置新的 cronjobs 时，其中一位用户收到以下错误：

来自服务器的错误（禁止）：禁止 cronjobs.batch：用户 无法在命名空间中列出 cronjobs.batch

创建此用户时的角色：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: <user>
  name: <user>-role
rules:
- apiGroups: ["", "extensions", "apps"]
  resources: ["*"]
  verbs: ["*"]

创建此用户时的角色绑定：

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  name: <user>-role-binding
  namespace: <user>
subjects:
- kind: User
  name: <user>
  apiGroup: ""
roleRef:
  kind: Role
  name: <user>-role
  apiGroup: ""

问题可能是什么？

Answer 1

Cronjob 资源属于batch API group。

在您的 RBAC 角色中，您仅授予对 core（空名称）、extensions 和 apps API 组的访问权限。

要使您的用户能够访问 CronJob 对象，请将 batch API 组添加到您的 RBAC 角色：

kind: Role
apiVersion: rbac.authorization.k8s.io/v1beta1
metadata:
  namespace: <user>
  name: <user>-role
rules:
- apiGroups: ["", "extensions", "apps", "batch"]
  resources: ["*"]
  verbs: ["*"]