jenkins-pipeline/k8s_yaml/ELK/filebast/01-filebeat-serviceaccount.yaml

# 定义 Filebeat 的服务账户(ServiceAccount)
apiVersion: v1
kind: ServiceAccount
metadata:
  name: filebeat                     # 服务账户名称
  namespace: kube-system             # 所在命名空间
  labels:
    k8s-app: filebeat                # 标签，标识这是 Filebeat 应用
---
# 定义 Filebeat 的集群角色(ClusterRole)，授予集群范围的权限
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: filebeat                     # 集群角色名称
  labels:
    k8s-app: filebeat                # 标签
rules:
  # 授予对 namespaces, pods, nodes 资源的 get, list, watch 权限
  - apiGroups: [""]
    resources: ["namespaces", "pods", "nodes"]
    verbs: ["get", "list", "watch"]
  # 授予对 ReplicaSets 的 get, list, watch 权限
  - apiGroups: ["apps"]
    resources: ["replicasets"]
    verbs: ["get", "list", "watch"]
  # 授予对 Jobs 的 get, list, watch 权限
  - apiGroups: ["batch"]
    resources: ["jobs"]
    verbs: ["get", "list", "watch"]
---
# 定义 Filebeat 的角色(Role)，授予命名空间范围的权限
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: filebeat                     # 角色名称
  namespace: kube-system             # 作用命名空间
  labels:
    k8s-app: filebeat                # 标签
rules:
  # 授予对 leases 资源的 get, create, update 权限
  # Leases 用于协调和领导者选举
  - apiGroups: ["coordination.k8s.io"]
    resources: ["leases"]
    verbs: ["get", "create", "update"]
---
# 将 Filebeat 的服务账户与集群角色绑定(ClusterRoleBinding)
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: filebeat                     # 绑定名称
subjects:
  - kind: ServiceAccount             # 主体类型为服务账户
    name: filebeat                   # 服务账户名称
    namespace: kube-system           # 服务账户所在命名空间
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole                  # 引用的角色类型
  name: filebeat                     # 引用的角色名称
---
# 将 Filebeat 的服务账户与角色绑定(RoleBinding)
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: filebeat                     # 绑定名称
  namespace: kube-system             # 作用命名空间
subjects:
  - kind: ServiceAccount             # 主体类型为服务账户
    name: filebeat                   # 服务账户名称
    namespace: kube-system           # 服务账户所在命名空间
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role                         # 引用的角色类型
  name: filebeat                     # 引用的角色名称