# 定义 Filebeat 的服务账户(ServiceAccount) apiVersion: v1 kind: ServiceAccount metadata: name: filebeat # 服务账户名称 namespace: kube-system # 所在命名空间 labels: k8s-app: filebeat # 标签,标识这是 Filebeat 应用 --- # 定义 Filebeat 的集群角色(ClusterRole),授予集群范围的权限 apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: filebeat # 集群角色名称 labels: k8s-app: filebeat # 标签 rules: # 授予对 namespaces, pods, nodes 资源的 get, list, watch 权限 - apiGroups: [""] resources: ["namespaces", "pods", "nodes"] verbs: ["get", "list", "watch"] # 授予对 ReplicaSets 的 get, list, watch 权限 - apiGroups: ["apps"] resources: ["replicasets"] verbs: ["get", "list", "watch"] # 授予对 Jobs 的 get, list, watch 权限 - apiGroups: ["batch"] resources: ["jobs"] verbs: ["get", "list", "watch"] --- # 定义 Filebeat 的角色(Role),授予命名空间范围的权限 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: filebeat # 角色名称 namespace: kube-system # 作用命名空间 labels: k8s-app: filebeat # 标签 rules: # 授予对 leases 资源的 get, create, update 权限 # Leases 用于协调和领导者选举 - apiGroups: ["coordination.k8s.io"] resources: ["leases"] verbs: ["get", "create", "update"] --- # 将 Filebeat 的服务账户与集群角色绑定(ClusterRoleBinding) apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: filebeat # 绑定名称 subjects: - kind: ServiceAccount # 主体类型为服务账户 name: filebeat # 服务账户名称 namespace: kube-system # 服务账户所在命名空间 roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole # 引用的角色类型 name: filebeat # 引用的角色名称 --- # 将 Filebeat 的服务账户与角色绑定(RoleBinding) apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: filebeat # 绑定名称 namespace: kube-system # 作用命名空间 subjects: - kind: ServiceAccount # 主体类型为服务账户 name: filebeat # 服务账户名称 namespace: kube-system # 服务账户所在命名空间 roleRef: apiGroup: rbac.authorization.k8s.io kind: Role # 引用的角色类型 name: filebeat # 引用的角色名称