Kubernetes为所有默认的ServiceAccount授权

最新推荐文章于 2024-05-14 06:39:34 发布
最新推荐文章于 2024-05-14 06:39:34 发布
阅读量3.4k 收藏
点赞数
分类专栏: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ch717828/article/details/106223056
版权

环境准备:

创建一个私有的命名空间 mynamespace,创建一个pod,让这个pod使用默认的service account

#cat mynamespace.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: mynamespace


#cat example-pod3.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test-default-verbs
  namespace: mynamespace
spec:
  shareProcessNamespace: true
  containers:
  - name: shell
    image: radial/busyboxplus:curl
    stdin: true
    tty: true

为什么pod使用镜像: radial/busyboxplus:curl ,是为了方便执行 curl命令来进行验证

此时查看 mynamespace有两个serviceaccount

#kubectl get serviceaccount -n mynamespace
NAME         SECRETS   AGE
default      1         14h
example-sa   1         14h

#kubectl describe serviceaccount default -n mynamespace
Name:                default
Namespace:           mynamespace
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   default-token-sg9f6
Tokens:
最低0.47元/天 解锁文章
藏红
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes集群RBAC授权案例(三)通过Service Account账号授权实现特定资源的权限分配(四十二)
江晓龙的博客
01-26 7538
通过Service Account账号授权实现特定资源的权限分配 1.创建一个sa账号 [root@k8s-master1 sa]# vim nginx-sa.yaml apiVersion: v1 kind: ServiceAccount metadata: name: nginx-sa namespace: rbac labels: kubernetes.io/cluster-service: "true" addonmanager.kubernetes.io/mode: R
2、Kubernetes 集群安全 - 认证1
08-04
-all-namespaces`命令查看所有命名空间的Secret,以及`kubectl describe secret default-token-5gm9r --namespace=kube-system`命令来详细描述特定的Secret,例如默认ServiceAccount Token。 总结,Kubernetes的...
K8S中serviceaccount的理解
weixin_44207346的博客
06-21 269
一般情况下pod等资源会自动创建对应权限serviceaccout,使其拥有和apiserver通信的权限,这个权限是最低权限,如果一个Pod没有指定ServiceAccount,那么将自动关联一个默认ServiceAccount
KubernetesService Account
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-14 564
Kubernetes 中,Service Account(服务账户)是一种特殊的 Kubernetes 账户,主要用于在 Pod 内运行的应用程序,以便这些应用程序能够与 Kubernetes API 进行交互,比如读取或修改 Kubernetes 对象。每个命名空间下默认都会有一个名为default的服务账户,也可以创建额外的服务账户来满足不同权限需求。
kubernetes为何需要默认serviceaccount
MyySophia的博客
04-26 834
Kubernetes 中,ServiceAccount 是一种用于身份验证和授权的对象。它为 Pod 提供了一种身份,以便它们可以与 Kubernetes API 交互,并且可以通过 Role 和 RoleBinding 为它们分配特定的权限。–update 2023年4月28日11:08:44 如果是一个普通的业务pod就不需要访问kube-apiserver,也没有必要额外创建对应的sa. 没有创建都会使用该ns下默认的sa.
KUBERNETES_SERVICE_HOST and KUBERNETES_SERVICE_PORT must be defined
u010988585的专栏
04-06 979
可能是由于环境变量没有正确设置导致的。具体来说,KUBE_CONTROLLER_MANAGER_OPTS变量中有一些无效的赋值,而且kube-controller-manager没有正确配置kubeconfig,因此它试图使用默认的inClusterConfig,但是缺少必要的环境变量KUBERNETES_SERVICE_HOST和KUBERNETES_SERVICE_PORT。
KubernetesService
山不转的博客
07-25 5278
概述 ServiceKubernetes中最核心的概念,正是因为对此概念的支持,Kubernetes在某种角度下可以被看成是一种微服务平台。Kubernetes中的pod并不稳定,比如由ReplicaSet、Deployment、DaemonSet等副本控制器创建的pod,其副本数量、pod名称、pod所运行的节点、pod的IP地址等,会随着集群规模、节点状态、用户缩放等因素动态变化。Serv...
3、Kubernetes 集群安全 - 鉴权1
08-04
RBAC(Role-Based Access Control)是基于角色的访问控制,它是 Kubernetes 1.5 中引入的默认授权模式。RBAC 授权模式有很多优点,例如它可以对集群中的资源和非资源进行完整的覆盖,对集群中的资源和非资源均拥有...
Kubernetes 集群安全-教程与笔记习题
05-22
5. **RBAC(Role-Based Access Control)**:基于角色的访问控制是Kubernetes默认授权策略,从1.5版本开始引入。RBAC提供了更精细的控制和灵活性,主要有以下几个优点: - **全面覆盖**:它不仅控制资源访问,还...
kubernetes培训PPT
12-23
- **ServiceAccount**:每个Pod都有默认ServiceAccount,用于API访问。 8. **应用运维**: - **Horizontal Pod Autoscaler(HPA)**:根据CPU或内存使用率自动扩展Pod数量。 - **Kubernetes Dashboard**:图形化...
kubernetes-dashboard-v1.8.3 yaml文件
10-08
你可以通过创建一个 ServiceAccount 和 RoleBinding 来为特定用户或服务帐户授予访问权限。 4. **启动代理**:由于 Dashboard 通常部署在内部网络,你需要通过 `kubectl proxy` 命令启动一个本地代理,以便通过...
KubernetesService
you_fathe的博客
01-02 713
k8s service 的概念和使用方法
kubernetes Services
纵横四海的博客
04-17 635
功能概述 kubernetes Services服务提供VIP访问对应的POD的功能,这种做法是非常好的,因为后台的POD不会是一成不变的,比如升级服务的时候POD的IP会改变,要访问到对应的服务的POD那就得改对应的IP,而kubernetes Services正是为此而生,很好得解决了这个问题。 对于Kubernetes原生应用程序,Kubernetes提供了一个简单的Endpoints ...
kubernetes服务发现之service
kuangfeng的博客
04-21 273
一、引子 Kubernetes Pod 是有生命周期的,它们可以被创建,也可以被销毁,然后一旦被销毁生命就永远结束。通过ReplicationController 能够动态地创建和销毁Pod(列如,需要进行扩缩容,或者执行滚动升级);每个Pod都会获取它自己的IP地址,即使这些IP地址不总...
Kubernetes服务详解
weixin_45727359的博客
08-19 701
前言之前介绍了Kubernetes副本机制,正是因为副本机制你的部署能自动保待运行,并且保持健康,无须任何手动干预;本文继续介绍kubernetes的另一个强大的功能服务,在客户端和po...
kubernetes搭建 十二 、service和服务发现
光明小学王小雨的博客
03-27 932
一、环境变量 1、创建一个service匹配标签为之前创建的pod的标签app:nginx,映射80和443端口 vim service.yaml [root@k8s-master-101 yaml_test]# cat service.yaml apiVersion: v1 kind: Service metadata: name: my-service spec: ports: ...
Kubernetes中比较全面的Service笔记
09-08 1640
Service:服务发现 Service入门介绍 需要Service的原因,我觉得主要从两个方面考虑: Pod的状态并不稳定,导致PodIP会随时变化; 水平伸缩会使多个Pod提供相同的服务来负载均衡,但每个Pod的ip肯定说不一样的; 所以就需要一个稳定的地址来暴露服务给用户,用户完全不需要考虑podip是多少,这个就是服务发现 serviceService的实现需要依赖于coredns,coredns是默认需要部署在集群内的一个服务; 每个node上的kube-proxy始终会去监视集群内有关
十三、K8s SVC相关操作
tushanpeipei的博客
07-09 4904
实验环境: 按照图示部署好了K8s集群,一个Master,两个worker nodes。 一、SVC概述: 所以Kubernetes Service定义了这样一种抽象:一个Pod的逻辑分组,一种可以访问它们的策略 ——通常称为微服务。这一组Pod能够被Service访问到,通常是通过Label Selector。用户仅需要访问 ServiceService能够提供负载均衡的能力,能够将用户流量分配到背后的pod上去。 Service能够提供负载均衡的能力,但是在使用上有以下限制: 只提供 4 层负载均
K8S---Service
0478
04-27 710
容器化的问题:1.自动调度 无法预知pod所在节点,pod的IP地址2.有故障时,换新节点新ip进行部署service就是解决这些问题clusterip不变 都能找到对应pod 主要靠后端pod的标签通过iptables/LVS规则将访问的请求最终映射到Pod容器内部,自动在多个容器之间实现负载均衡服务创建时会自动在内部DNS上注册域名 ..svc.cluster.local服务,kube-proxy是在所有节点上运行的代理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值