Kubernetes为所有默认的ServiceAccount授权

最新推荐文章于 2024-08-19 10:49:27 发布
最新推荐文章于 2024-08-19 10:49:27 发布
阅读量3.5k 收藏
点赞数
分类专栏: 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ch717828/article/details/106223056
版权
本文介绍了如何在Kubernetes环境中为默认的ServiceAccount授予权限。首先,创建了一个私有命名空间'mynamespace',并部署了一个使用默认ServiceAccount的Pod。通过使用radial/busyboxplus:curl镜像来验证权限。初始情况下,ServiceAccount没有list pod的权限。接着,通过创建ClusterRole和ClusterRoleBinding,赋予了所有default ServiceAccount列出Pod的权限。经过授权后,验证发现ServiceAccount可以成功执行curl命令获取Pod信息。
摘要由CSDN通过智能技术生成

环境准备:

创建一个私有的命名空间 mynamespace,创建一个pod,让这个pod使用默认的service account

#cat mynamespace.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: mynamespace


#cat example-pod3.yaml
apiVersion: v1
kind: Pod
metadata:
  name: test-default-verbs
  namespace: mynamespace
spec:
  shareProcessNamespace: true
  containers:
  - name: shell
    image: radial/busyboxplus:curl
    stdin: true
    tty: true

为什么pod使用镜像: radial/busyboxplus:curl ,是为了方便执行 curl命令来进行验证

此时查看 mynamespace有两个serviceaccount

#kubectl get serviceaccount -n mynamespace
NAME         SECRETS   AGE
default      1         14h
example-sa   1         14h

#kubectl describe serviceaccount default -n mynamespace
Name:                default
Namespace:           mynamespace
Labels:              <none>
Annotations:         <none>
Image pull secrets:  <none>
Mountable secrets:   default-token-sg9f6
Tokens:
最低0.47元/天 解锁文章
藏红
关注
专栏目录
Kubernetes集群RBAC授权案例(三)通过Service Account账号授权实现特定资源的权限分配(四十二)
江晓龙的博客
01-26 7593
通过Service Account账号授权实现特定资源的权限分配 1.创建一个sa账号 [root@k8s-master1 sa]# vim nginx-sa.yaml apiVersion: v1 kind: ServiceAccount metadata: name: nginx-sa namespace: rbac labels: kubernetes.io/cluster-service: "true" addonmanager.kubernetes.io/mode: R
Kubernetes身份认证和授权操作全攻略:访问控制之Service Account
Rancher
09-06 912
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service accountKubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建...
kubernetes为何需要默认serviceaccount
MyySophia的博客
04-26 872
Kubernetes 中,ServiceAccount 是一种用于身份验证和授权的对象。它为 Pod 提供了一种身份,以便它们可以与 Kubernetes API 交互,并且可以通过 Role 和 RoleBinding 为它们分配特定的权限。–update 2023年4月28日11:08:44 如果是一个普通的业务pod就不需要访问kube-apiserver,也没有必要额外创建对应的sa. 没有创建都会使用该ns下默认的sa.
【云原生】ServiceAccount程序用户详解
最新发布
weixin_73059729的博客
08-19 1069
Kubernetes提供两种完全不同的方式来为客户端提供支持,这些客户端可能运行在你的集群中,也能与你的集群的控制平面有关,需要向API(提供Kubernetes API服务的控制平缅组件),服务器完成身份认证。服务账号(Service Account)为Pod中运行的进程提供身份标识,并映射到ServiceAccount对象。当你向API服务器执行身份认证时,你会讲自己标识为某个用户(User)。Kubernetes能够识别用户的概念,但是Kubernetes自身并不提供User API。
K8S中serviceaccount的理解
weixin_44207346的博客
06-21 338
一般情况下pod等资源会自动创建对应权限serviceaccout,使其拥有和apiserver通信的权限,这个权限是最低权限,如果一个Pod没有指定ServiceAccount,那么将自动关联一个默认ServiceAccount
KUBERNETES_SERVICE_HOST and KUBERNETES_SERVICE_PORT must be defined
u010988585的专栏
04-06 1115
可能是由于环境变量没有正确设置导致的。具体来说,KUBE_CONTROLLER_MANAGER_OPTS变量中有一些无效的赋值,而且kube-controller-manager没有正确配置kubeconfig,因此它试图使用默认的inClusterConfig,但是缺少必要的环境变量KUBERNETES_SERVICE_HOST和KUBERNETES_SERVICE_PORT。
KubernetesService
山不转的博客
07-25 5299
概述 ServiceKubernetes中最核心的概念,正是因为对此概念的支持,Kubernetes在某种角度下可以被看成是一种微服务平台。Kubernetes中的pod并不稳定,比如由ReplicaSet、Deployment、DaemonSet等副本控制器创建的pod,其副本数量、pod名称、pod所运行的节点、pod的IP地址等,会随着集群规模、节点状态、用户缩放等因素动态变化。Serv...
KubernetesService
you_fathe的博客
01-02 997
k8s service 的概念和使用方法
kubernetes10——访问控制(serviceaccount、useraccount、RBAC)
qwejiaji的博客
08-05 929
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
rancher 权限 添加用户_Kubernetes身份认证和授权操作全攻略:访问控制之Service Account...
weixin_39590739的博客
01-17 680
这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service accountKubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建证...
kuberneteskubernetes api访问控制、useraccountserviceaccount的创建和绑定、rbac基于角色的访问授权
weixin_43384009的博客
05-07 3170
kubernetes1. kubernetes api访问控制2. 访问k8s的API Server的客户端3. UserAccountserviceaccount3.1 创建serviceaccount:3.2 添加secrets到serviceaccount中3.3 把serviceaccount和pod绑定起来:3.4 创建useraccount4. RBAC基于角色访问控制授权4.1 R...
kubernetes Services
纵横四海的博客
04-17 666
功能概述 kubernetes Services服务提供VIP访问对应的POD的功能,这种做法是非常好的,因为后台的POD不会是一成不变的,比如升级服务的时候POD的IP会改变,要访问到对应的服务的POD那就得改对应的IP,而kubernetes Services正是为此而生,很好得解决了这个问题。 对于Kubernetes原生应用程序,Kubernetes提供了一个简单的Endpoints ...
kubernetes服务发现之service
kuangfeng的博客
04-21 290
一、引子 Kubernetes Pod 是有生命周期的,它们可以被创建,也可以被销毁,然后一旦被销毁生命就永远结束。通过ReplicationController 能够动态地创建和销毁Pod(列如,需要进行扩缩容,或者执行滚动升级);每个Pod都会获取它自己的IP地址,即使这些IP地址不总...
Kubernetes服务详解
weixin_45727359的博客
08-19 724
前言之前介绍了Kubernetes副本机制,正是因为副本机制你的部署能自动保待运行,并且保持健康,无须任何手动干预;本文继续介绍kubernetes的另一个强大的功能服务,在客户端和po...
kubernetes搭建 十二 、service和服务发现
光明小学王小雨的博客
03-27 968
一、环境变量 1、创建一个service匹配标签为之前创建的pod的标签app:nginx,映射80和443端口 vim service.yaml [root@k8s-master-101 yaml_test]# cat service.yaml apiVersion: v1 kind: Service metadata: name: my-service spec: ports: ...
Kubernetes中比较全面的Service笔记
09-08 1686
Service:服务发现 Service入门介绍 需要Service的原因,我觉得主要从两个方面考虑: Pod的状态并不稳定,导致PodIP会随时变化; 水平伸缩会使多个Pod提供相同的服务来负载均衡,但每个Pod的ip肯定说不一样的; 所以就需要一个稳定的地址来暴露服务给用户,用户完全不需要考虑podip是多少,这个就是服务发现 serviceService的实现需要依赖于coredns,coredns是默认需要部署在集群内的一个服务; 每个node上的kube-proxy始终会去监视集群内有关
十三、K8s SVC相关操作
tushanpeipei的博客
07-09 5101
实验环境: 按照图示部署好了K8s集群,一个Master,两个worker nodes。 一、SVC概述: 所以Kubernetes Service定义了这样一种抽象:一个Pod的逻辑分组,一种可以访问它们的策略 ——通常称为微服务。这一组Pod能够被Service访问到,通常是通过Label Selector。用户仅需要访问 ServiceService能够提供负载均衡的能力,能够将用户流量分配到背后的pod上去。 Service能够提供负载均衡的能力,但是在使用上有以下限制: 只提供 4 层负载均
Kubernetes——服务账号与权限
qq_41358740的博客
02-01 386
kubernetes
运维实操——kubernetes(十二)访问控制ServiceAccount、UserAccount、RBAC、服务账户的自动化
qq_40764171的博客
08-03 677
访问控制ServiceAccount、UserAccount、RBAC、服务账户的自动化1、访问控制基本流程2、ServiceAccount3、UserAccount4、RBAC基于角色访问控制授权5、服务账户的自动化(1)服务账户准入控制器(Service account admission controller)(2)Token 控制器(Token controller)(3)服务账户控制器(Service account controller) 1、访问控制基本流程 主要分为三个部分,认证、授权和准入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值