详解 ServiceAccount -- k8s的服务账号是如何工作的?

最新推荐文章于 2024-08-18 20:53:03 发布
最新推荐文章于 2024-08-18 20:53:03 发布
阅读量7.9k 收藏 11
点赞数 2
分类专栏: Cloud Native 文章标签: kubernetes linux docker 云计算 aws
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/davidullua/article/details/122001391
版权

1.什么是 k8s 服务账号?工作流程是怎么样的?

服务账号是相对于用户账号而言,服务账号是给到在 Pod 中运行的进程用的。通常用于 Pod 的进程通过Kubernetes API访问 k8s 集群来使用,比如在 pod 进程中查询整个集群的负载情况。

服务账号工作的整个流程:

1).创建Service Account: 用户通过kubectl创建serviceaccount, 请求会发到controller manager,controller manager启动参数中配置的--service-account-private-key-file 对serviceaccount对应的用户(这里其实是虚拟用户,可能是CN或者一个随机数)进行签名生成serviceaccount对应的secret里边的token。多master的情况下,需要使用server的key,client的key在各个节点不一致。

2).Pod与Service Account的关联:用户创建 pod 时指定serviceaccount。 pod 启动时,k8s 会把对应的信息 ca.crt, namespace,token这些信息会挂载到pod的/var/run/secrets/kubernetes.io/serviceaccount 目录下。

3).Pod中的应用如何使用 Service Account: pod中的应用访问k8s api,这些pod应用使用go-client或者其他语言的客户端访问k8s api, 使用incluster方式初始化client,也就是会去/var/run/secrets/kubernetes.io/serviceaccount寻找token,发送到apiserver,请求访问api。

4).Api Server对token进行验证:由于加密使用的是server.key,是私钥,所以apiserver启动参数--service-account-key-file需要配置成server的公钥,也就是server.crt。

这样整个身份认证过程完成。

Kubernetes API Server是整个Kubernetes集群的核心,我们不仅有从集群外部访问API Server的需求,有时,我们还需要从Pod的内部访问API Server。

2.k8s 服务账号可以用在哪些场景?

1).可以用于在 pod 中访问 k8s 集群的信息,调用 k8s 集群的api。

2).也可以通过服务账号来访问云提供商的资源,比如使用 aws 的时候, 可以通过服务账号关联的 IAM Role 来访问 aws s3的文件。这种情况下,工作流程跟第一步描述的类似,只是 amazon 魔改定制了 k8s 集群,在启动 pod 的时候,如果发现有 Service Account和对应的角色信息, 会把 aws 自己的 token, rolearn 的信息也传入到了 pod 里面,这样可以在 pod 的进程中通过 IAM 授权来访问 aws 的资源。

3.k8s 服务账号如何绑定到一个 pod 容器?

在自己的 pod/deployment/statefulset 里面指定 ServiceAccount 即可。

apiVersion: v1
kind: Deployment
metadata:
  name: my-api-deployment
spec:
  serviceAccountName: myServiceAccount

4.k8s 服务账号绑定到 deployment/pod 之后集群做了什么事情?

集群在启动 pod 时,会把服务账号关联的证书,token mount 到pod的 /var/run/secrets/kubernetes.io/serviceaccount 目录。

对于 aws eks 集群,同时会把 aws的服务授权的token mount 到 /var/run/secrets/eks.amazonaws.com/serviceaccount/ 目录下面,还会在运行的pod中设置两个环境变量:AWS_ROLE_ARN, AWS_WEB_IDENTITY_TOKEN_FILE。

5.服务账号默认的权限是什么?

创建 pod 的时候,如果没有指定 Service Account, 则会使用同一个命名空间下面的 默认的名为 default 的服务账号。

默认的服务账号有哪些权限,取决于不同的 k8s 集群。比如开发环境 docker 自带的 docker-desktop 的 k8s 集群,default 的服务账号有很多权限,比如 list/create/delete pods, 管理 secrets 的权限都有的。而在 aws 的集群里面, 默认只有 list pods 的权限。 可以这样检查是否有某种权限:

kubectl auth can-i <action> --as=system:serviceaccount:<namespace>:<serviceaccount> -n <namespace>

比如在开发环境的 docker-descktop 集群:

$ kubectl auth can-i list pods --as=system:serviceaccount:my-cluster:myacc -n my-namespace


yes
$ kubectl auth can-i create pods --as=system:serviceaccount:my-cluster:myacc -n my-namespace


yes

aws 上面:

$ kubectl auth can-i create secrets --as=system:serviceaccount:my-cluster:myacc -n my-namespace


no

如果要禁止 Service Account 的token信息自动加载到 pod 中可以设置 Service Account 的 automountServiceAccountToken 属性,或者设置 pod 的 automountServiceAccountToken 属性。 设置为 false 之后, pod 的进程访问不到服务账号的 token,不能使用 token 调用 k8s api 来访问集群。

禁止 服务账号的 token 被自动加载

apiVersion: v1
kind: ServiceAccount
metadata:
  name: default
automountServiceAccountToken: false
...

禁止 启动 pod 时,自动加载默认服务账号的 token 信息

apiVersion: apps/v1
kind: Deployment
metadata:
  name: k8s-example1
spec:
  replicas: 1
  selector:
    matchLabels:
      run: k8s-example1
  template:
    metadata:
      labels:
        run: k8s-example1
    spec:
      automountServiceAccountToken: false
      containers:
      - name: k8s-example1
        image: k8s/example1:latest
        imagePullPolicy: IfNotPresent

注意:

Pod 里面设置的自动加载服务账号 token 的属性,会覆盖掉 ServiceAccount 的默认属性值,比如 ServiceAccount 的 automountServiceAccountToken 设置为 false, 而在 pod 中设置的 automountServiceAccountToken 为true时, 仍然会加载 token。

6.如何配置 Service Account?

集群有默认名为 default 的 Service Account, 可以导出这个默认 Account 的 yaml 配置,更改之后再基于更改过的 yaml 创建新的账号。

kubectl get serviceaccounts default -o yaml > ./sa.yaml

vim sa.yaml, 去掉里面的 resourceVersion, 更改其中的 name 和 namespace 为需要的。

apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: "2021-12-14T13:21:29Z"
  name: default
  namespace: default
  resourceVersion: "420"
  uid: 13d2747c-9a0e-4fa7-aafb-db4de9b4d2b0
secrets:
- name: default-token-9zcrr

然后再基于这个文件创建 Service Account:

kubectl create -f ./sa.yaml

如果是需要更新里面的配置,比如加入 Secrets, 添加 annotation, 比如改成这个配置:

apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    eks.amazonaws.com/role-arn: arn:aws-cn:iam::123456789:role/eksctl-my-cluster-addon-iamserviceaccount-Role1
  creationTimestamp: "2021-12-15T09:55:52Z"
  name: default
  namespace: my-cluster
  uid: 5dd761b4-a850-4099-88bd-8e97a178d6ef
secrets:
- name: default-token-8vn00

可以运行 replace 命令来更新服务账号的配置

kubectl replace serviceaccount default -f ./sa.yaml

7.其他相关命令

A.查询 automountServiceAccountToken 的帮助文档

kubectl explain serviceaccount.automountServiceAccountToken

B.查询默认的服务账号信息

kubectl describe  serviceaccount -n my-namespace default

C.查询服务账号关联的 secrets 信息:

kubectl get secret  default-token-8vntd -o yaml --namespace my-namespace

D.编辑默认的 Service Account 的设置

kubectl edit serviceaccount default --namespace my-namespace -o yaml

参考

为 Pod 配置服务账户 | Kubernetes

kubernetes - What's the purpose of a pod's service account, if `automountServiceAccountToken` is set to false? - Stack Overflow

serviceaccount详解 · docker-notes

rbac - Kubernetes namespace default service account - Stack Overflow

davidullua
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s(六):网络插件之Calico安装与详解
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-02 2万+
🔴 K8s(六):网络插件之Calico安装与详解
K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-08 1万+
🔴 K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
k8s登录_k8sserviceaccount,登录账号创建
weixin_39811101的博客
01-12 731
kubectl --> 认证 --->授权 -->准入控制认证:证书 身份识别授权:rbac 权限检查准入控制: 补充授权机制 多个插件实现 只在创建 删除 修改 或做代理操作时做补充用户账号:user客户端 -->API server -->user:username,uidgroup:extra:APIRequest path 访问资源请求http://19...
k8sServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
蓝易云服务器 - 配置k8s的一个serviceaccount具有管理员权限并获取他的token教程
weixin_41399518的博客
08-02 27
配置Kubernetes中的一个ServiceAccount具有管理员权限并获取它的Token,需要遵循以下步骤:创建ServiceAccount和ClusterRoleBinding:首先,我们需要创建一个ServiceAccount和一个ClusterRoleBinding,将ClusterRole(集群角色)绑定到S...
K8S ServiceAccount
summer_fish的专栏
08-07 2074
一、ServiceAccount通常被用于授权Pod与集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccountKubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
K8sService Account和RBAC
l1727377的博客
12-16 2534
①.ServiceAccount服务账户)是Kubernetes集群中的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够与Kubernetes API进行交互。②.ServiceAccountKubernetes中用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群中具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
k8sservice account
fengcai_ke的博客
07-11 3569
k8s service account分析
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
k8s-身份认证与权限
Mclaughling的博客
10-28 4594
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
[Kubernetes]2. k8s集群中部署基于nodejs golang的项目以及Pod、Deployment详解
zhoupenghui168的博客
12-14 1880
k8s集群中部署基于nodejs golang的项目以及Pod、Deployment详解
K8S中Deployment控制器的概念、原理解读以及使用技巧
景天科技苑
01-21 1795
Deployment是kubernetes中最常用的资源对象,为ReplicaSet和Pod的创建提供了一种声明式的定义方法, 在Deployment对象中描述一个期望的状态,Deployment控制器就会按照一定的控制速率把实际状态改成期望状态, 通过定义一个Deployment控制器会创建一个新的ReplicaSet控制器,通过ReplicaSet创建pod,删除Deployment控制器, 也会删除Deployment控制器下对应的ReplicaSet控制器和pod资源.
ServiceAccount
weixin_44524077的博客
11-27 671
Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认证机制,具体请参见认证与ServiceAccount。 Authorization:用于控制用户对资源访问的授权,对访问的授权目前主要使用RBAC机制,将在RBAC介绍。 图1 API Server的认证授权 认证与ServiceAccount Kuber
K8S学习指南(36)-k8s权限管理对象ServiceAcount
俞兆鹏的博客
12-24 1197
通过本文,我们深入了解了Kubernetes中权限管理对象ServiceAccount的基本概念、使用方法,并通过详细的示例演示了如何创建ServiceAccount,并将其与Pod关联,以实现身份验证。在示例中,我们将创建一个ServiceAccount,并将其关联到一个简单的Pod,演示Pod如何使用ServiceAccount提供的令牌进行身份验证。上述步骤演示了如何创建ServiceAccount,并将其与Pod关联,以便在Pod中获取ServiceAccount提供的令牌进行身份验证。
k8s的认证和service account简述
weixin_30608131的博客
05-21 400
k8s的认证: 与API server通信的客户端大致有两类: 1.集群客户端工具(kubectl、kubeadm、kubelet等) 2.集群内pod. 任何客户端访问k8s时的过程: 1.认证:任何客户端访问k8s,首先需要通过k8s的认证;认证通过是说明所用账号只是k8s的合法用户; 2.授权:认证通过后,是否具有对k8s集群中资源的操作,需要k8s对其进行授权检查; 3.准入...
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 2089
梳理出ServiceAccount服务账号一条线
ServiceAccount 详解
最新发布
Lzcsfg的博客
08-18 706
Kubernetes 中,是一种用于在 Pod 中提供身份验证和授权的机制。ServiceAccount 允许应用程序在集群内以特定身份运行,并且可以访问 Kubernetes API。
ServiceAccount深度解析
qq_61039408的博客
08-07 1091
这里在default名称空间创建了一个serviceaccount为admin,可以看到已经自动生成了一个Tokens:admin-token-j7n8j,下面展示如何使用自定义的serviceaccountK8S集群当中,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当中,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的APIserver进行通信。
KubernetesServiceaccount
屈帅波的技术博客
11-27 558
1.创建serviceaccount K8s集群账号分为用户账号useraccountServiceaccount(是指pod想访问api-server要用到的用户账号密码等) apiVersion: v1 kind: ServiceAccount metadata: name: admin namespace: default 2.自定义pod连接api的认证用户 apiVersio...
k8s service 详解
12-22
Kubernetesk8sServiceKubernetes集群的一种重要概念,用于定义一组Pod的访问规则。Service可以根据label selector匹配指定的Pod,并为其提供网络代理和负载均衡,使得外部或内部的流量能够正确地路由到对应的Pod上。 Kubernetes Service有四种类型:ClusterIP、NodePort、LoadBalancer和ExternalName。ClusterIP类型为Service创建一个Cluster-internal IP,并通过集群内部路由提供服务。NodePort类型在ClusterIP的基础上为Service在每个Node上开放一个端口,从而可以通过Node的IP访问Service。LoadBalancer类型根据云平台提供的负载均衡器来分配外部流量,并通过NodePort和ClusterIP暴露Service。ExternalName类型允许对外暴露为一个DNS名称,从而在不同的Namespace中指向外部服务Service可以通过Endpoint对象来绑定一组Pod的IP地址和端口,实现负载均衡和故障转移。另外,Service还支持Selector和Session Affinity,可以根据标签选择器和会话粘性来定义流量的路由规则。 总的来说,Kubernetes Service提供了一种抽象方式来暴露应用程序的服务,并通过负载均衡和路由规则来有效地管理流量。它是Kubernetes中实现微服务架构和构建可扩展应用的重要组件,为集群中的各种应用提供了易于访问和管理的网络服务
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值