整理如何将 mirrord 开发者授权管理从脚本式操作转换为 GitOps 模式：通过维护 RoleBinding 和 ClusterRoleBinding 的声明式 YAML，实现可审计、可回滚、默认拒绝的权限控制。

把 mirrord OSS 接入 VS Code 时撞上一个 WebSocket 403，最后追到 K8s impersonation 的两条 authorization 链路 — 记录排查、原理和最小修复。

记录我如何用 kind、Kubernetes CSR 和 RoleBinding，为 mirrord OSS 做一套按 namespace 授权的开发者接入 demo。