В документация kubernetes В разделе «Доступ к API из модуля» указано следующее:
Самый простой способ использовать Kubernetes API из пода - использовать одну из официальных клиентских библиотек. Эти библиотеки могут автоматически обнаруживать сервер API и проходить аутентификацию.
У меня запущены стручки Theia-ide, облачная IDE, где каждый пользователь может получить доступ к консоли своего контейнера. Могут ли они получить доступ к Kubernetes API из этого контейнера без аутентификации?
Я нашел некоторые другая документация это объяснило вещи дальше. По-видимому, поды назначаются default сервисный аккаунт, который (насколько я понимаю) по умолчанию не имеет никаких разрешений. Если модулю требуются дополнительные разрешения, вы можете создать настраиваемую учетную запись службы с ее собственными привязками ролей, а затем назначить модулю использование этой учетной записи службы вместо учетной записи по умолчанию, используя spec.serviceAccountName свойство.