【容器日志采集】【一】创建命名空间、角色

下面是一份补全后的文档，基于你上传的 YAML 内容，整理为 Markdown 说明文档，方便团队使用和复用。文中还特别标注了注意事项 ⚠️，帮助避免常见配置错误。

---

📦 Kubernetes 命名空间与权限配置文档

本文档示例演示了如何在 Kubernetes 集群中：

1. 创建一个新的命名空间。
2. 创建 ServiceAccount。
3. 创建 ClusterRole 并分配权限。
4. 通过 ClusterRoleBinding 绑定角色与账号。

🧭 1. 创建命名空间

apiVersion: v1
kind: Namespace
metadata:name: logging

⚠️ 注意：

• metadata.name 是命名空间名称，后续 ServiceAccount、RoleBinding 等资源都必须与之匹配。
• 确保该命名空间在集群中尚未存在，否则会创建失败。
• 建议为日志采集、监控、测试等场景单独建立命名空间，方便隔离和权限控制。

---

🧑‍💻 2. 创建 ServiceAccount

apiVersion: v1
kind: ServiceAccount
metadata:name: fluent-bitnamespace: logging

⚠️ 注意：

• namespace 字段要和上一步创建的命名空间一致。
• ServiceAccount 用于 Pod 访问 Kubernetes API 时的身份标识。
• 创建 ServiceAccount 后，可以通过 kubectl get serviceaccounts -n logging 查看是否成功。

---

🔐 3. 创建 ClusterRole（集群角色）

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:name: fluent-bit-read
rules:- apiGroups: [""]resources: ["pods", "namespaces", "nodes", "nodes/proxy"]verbs: ["get", "list", "watch"]

⚠️ 注意：

• ClusterRole 是集群级别的权限定义，适用于跨命名空间的访问。
• apiGroups: [""] 表示访问的是 core API group。
• resources 定义了可访问的资源类型，比如 Pod、Namespace、Node 等。
• verbs 定义允许的操作类型（常见：get、list、watch、create、update、delete）。

---

🪝 4. 绑定 ClusterRole 与 ServiceAccount

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:name: fluent-bit-read
roleRef:apiGroup: rbac.authorization.k8s.iokind: ClusterRolename: fluent-bit-read
subjects:- kind: ServiceAccountname: fluent-bitnamespace: logging

⚠️ 注意：

• roleRef.name 必须和上一步创建的 ClusterRole 名称一致。
• subjects 中的 namespace 必须和 ServiceAccount 所在命名空间一致。
• ClusterRoleBinding 是集群级绑定，因此 ServiceAccount 可以在对应命名空间中被 Pod 使用访问集群资源。

---

🧪 验证配置是否成功

执行以下命令检查：

kubectl get namespace
kubectl get serviceaccount -n logging
kubectl get clusterrole fluent-bit-read
kubectl get clusterrolebinding fluent-bit-read

或查看绑定详情：

kubectl describe clusterrolebinding fluent-bit-read

✅ 若能正常返回信息，即说明创建成功。

---

📝 建议与最佳实践

• ✅ 使用 最小权限原则，只授予 ServiceAccount 必须的权限。

• ✅ 对不同的功能组件使用不同的命名空间和 ServiceAccount。

• ✅ 建议使用 Role + RoleBinding 优先（只在某个命名空间内生效），ClusterRole + ClusterRoleBinding 仅在需要跨命名空间访问时使用。

• 🧰 使用 kubectl auth can-i 命令快速验证权限：

  kubectl auth can-i get pods --as=system:serviceaccount:logging:fluent-bit
  

---

✅ 总结：
通过以上 4 步操作，我们实现了一个 logging 命名空间，并为日志采集工具（如 Fluent Bit）配置了只读权限，确保安全和灵活的资源访问。