从一次 pods/exec forbidden 聊起:彻底搞懂 K8s RBAC 权限模型
kubectl get pods 正常,但 kubectl exec 报 forbidden: cannot create resource pods/exec。排查过程揭开 RBAC 的全部细节:Role 和 ClusterRole 的作用域、Binding 的组合关系、ServiceAccount 的 Token 演进、子资源权限的隐藏坑,以及多租户隔离的最佳实践。
kubectl get pods 正常,但 kubectl exec 报 forbidden: cannot create resource pods/exec。排查过程揭开 RBAC 的全部细节:Role 和 ClusterRole 的作用域、Binding 的组合关系、ServiceAccount 的 Token 演进、子资源权限的隐藏坑,以及多租户隔离的最佳实践。