https://xuezhaojun.github.io/tags/rbac/Recent content in RBAC on Zhao XueHugoen-usFri, 24 Apr 2026 00:00:00 +0000https://xuezhaojun.github.io/collections/k8s-internals/k8s-rbac/Fri, 24 Apr 2026 00:00:00 +0000https://xuezhaojun.github.io/collections/k8s-internals/k8s-rbac/kubectl get pods 正常，但 kubectl exec 报 forbidden: cannot create resource pods/exec。排查过程揭开 RBAC 的全部细节：Role 和 ClusterRole 的作用域、Binding 的组合关系、ServiceAccount 的 Token 演进、子资源权限的隐藏坑，以及多租户隔离的最佳实践。