Sagar's questions

我定义了以下 ClusterRole：

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: deployer-system
rules:
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - list
- nonResourceURLs:
  - '*'
  verbs:
  - list

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: deployer-nonsystem
rules:
- apiGroups:
  - '*'
  resources:
  - secrets
  - PersistentVolumes
  - Role
  - RoleBinding
  verbs:
  - list
- apiGroups:
  - '*'
  resources:
  - deployments
  - pods
  verbs:
  - get
  - list
  - watch
  - create
  - update
  - patch
- nonResourceURLs:
  - '*'
  verbs:
  - list

我使用以下 RoleBindings 为用户分配上述 ClusterRole：

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: theuser-nonsystem-role-binding
  namespace: nonsystem-namespace
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: deployer-nonsystem
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: theuser

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: theuser-kube-system-role-binding
  namespace: system-namespace
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: deployer-system
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: User
  name: theuser

但是，他们可以运行kubectl -n [NAMESPACE] get secrets -o yaml并查看所有机密。根据上面的 ClusterRole 规范，我预计此调用将被禁止。

我是不是遗漏了什么或者误解了什么？为什么用户可以“获取”机密？

更新：请注意：我的问题不是他们可以列出秘密。我的问题是用户可以“获取”秘密（不同的动词！）

我有一个连接到数据库并从中检索信息的应用程序。它的写法是：对于收到的每个请求，创建一个到数据库服务器的新连接并检索数据。

测试时，如果从主机上拔下网络电缆并重新连接，应用程序将恢复正常检索数据。但是，如果取消选中“已连接”选项并重新选中以模拟断开连接，则应用程序无法再次连接到数据库，即使为每个连接创建了所有处理程序等。

问题：从主机上断开网络电缆与取消选中 VM 配置中的“已连接”选项是否不同？