Skip to content

Commit 53bc94c

Browse files
fix(argocd): clusterResourceWhitelist leeg laten
Onze Argo ServiceAccount heeft op productie geen rechten om cluster-scoped resources aan te maken; die worden out-of-band door ODCN beheerd. Een whitelist met ClusterRole/ClusterRoleBinding/Namespace was misleidend (deed in praktijk niks omdat Argo ze toch niet kan maken). Lege whitelist blokkeert nu expliciet elke cluster-scoped sync-poging, zonder bestaande resources te raken.
1 parent ccc2bac commit 53bc94c

1 file changed

Lines changed: 8 additions & 12 deletions

File tree

bootstrap/rig-system/kustomize/overlays/odcn-production/argocd-appproject-rig-platform.yaml

Lines changed: 8 additions & 12 deletions
Original file line numberDiff line numberDiff line change
@@ -47,18 +47,14 @@ spec:
4747
- server: https://kubernetes.default.svc
4848
namespace: rig-system
4949

50-
# Cluster-brede kinds: de infrastructuur-sync maakt aantoonbaar een
51-
# ClusterRole + ClusterRoleBinding aan (external-dns) en kan Namespaces
52-
# aanmaken. Bewust géén '*'. Als de SOPS-versleutelde overlays meer
53-
# cluster-brede kinds blijken te bevatten faalt de sync zichtbaar op
54-
# staging - dat is het pre-merge validatiemoment, niet productie.
55-
clusterResourceWhitelist:
56-
- group: ""
57-
kind: Namespace
58-
- group: rbac.authorization.k8s.io
59-
kind: ClusterRole
60-
- group: rbac.authorization.k8s.io
61-
kind: ClusterRoleBinding
50+
# Geen cluster-scoped resources via Argo: onze Argo ServiceAccount heeft op
51+
# productie geen rechten om ClusterRole, ClusterRoleBinding, Namespace of
52+
# andere cluster-scoped kinds aan te maken — die worden out-of-band door het
53+
# ODCN-platformteam beheerd. Lege whitelist blokkeert elke poging vanuit
54+
# deze AppProject; als een sync ooit een cluster-scoped kind nodig heeft
55+
# wordt dat in Argo direct zichtbaar als OutOfSync (niet stilletjes
56+
# toegepast met permissions-die-we-niet-hebben).
57+
clusterResourceWhitelist: []
6258

6359
# Namespaced resources blijven breed toegestaan: de blast radius is al
6460
# ingeperkt door de destination-namespace-pinning hierboven. Een te

0 commit comments

Comments
 (0)