20 名词解释 Service Account

最新推荐文章于 2023-09-07 23:18:10 发布
最新推荐文章于 2023-09-07 23:18:10 发布
阅读量2.6k 收藏 3
点赞数 1
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/denglelai123/article/details/80852947
版权

Service Account

Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同
  • User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计;
  • User account是跨namespace的 ,而service account则是 仅局限它所在的namespace
  • 每个namespace都会自动创建一个default service account
  • Token controller检测service account的创建,并为它们创建 secret
  • 开启ServiceAccount Admission Controller后
    • 每个Pod在创建后都会自动设置spec.serviceAccount为default(除非指定了其他ServiceAccout)
    • 验证Pod引用的service account已经存在,否则拒绝创建
    • 如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中
    • 每个container启动后都会挂载该service account的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/
$ kubectl exec nginx - 3137573019 - md1u2 ls / run / secrets / kubernetes . io / serviceaccount
ca . crt
namespace
token

创建Service Account

$ kubectl create serviceaccount jenkins
serviceaccount "jenkins" created
$ kubectl get serviceaccounts jenkins - o yaml
apiVersion : v1
kind : ServiceAccount
metadata :
creationTimestamp : 2017 - 05 - 27T14 : 32 : 25Z
name :
最低0.47元/天 解锁文章
邓乐来Jacob
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 1952
梳理出ServiceAccount服务账号一条线
kubernetes为何需要默认的serviceaccount
MyySophia的博客
04-26 834
在 Kubernetes 中,ServiceAccount 是一种用于身份验证和授权的对象。它为 Pod 提供了一种身份,以便它们可以与 Kubernetes API 交互,并且可以通过 Role 和 RoleBinding 为它们分配特定的权限。–update 2023年4月28日11:08:44 如果是一个普通的业务pod就不需要访问kube-apiserver,也没有必要额外创建对应的sa. 没有创建都会使用该ns下默认的sa.
Kubernetes中的service account
韦远科的专栏
02-15 7146
service account,顾名思义,主要是给service使用的一个账号。 具体一点,就是为了让Pod中的进程、服务能访问k8s集群而提出的一个概念,基于service account,pod中的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。 kubernetes中,每个命名空间默认会有一个名为“default”的serv...
ServiceAccount深度解析
qq_61039408的博客
08-07 948
这里在default名称空间创建了一个serviceaccount为admin,可以看到已经自动生成了一个Tokens:admin-token-j7n8j,下面展示如何使用自定义的serviceaccount在K8S集群当中,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当中,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的APIserver进行通信。
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 7587
Kubernetes 的 Service Account 是如何工作的
google service account key
05-10
To use a service account from outside of Google Cloud, such as on other platforms or on-premises, you must first establish the identity of the service account. Public/private key pairs provide a ...
OracleEBS名词解释.doc
11-21
以下是一些Oracle EBS中重要的名词解释: 1. ABC分类法 (ABC Classification):这是一种库存管理策略,将物品按照其重要性和周转率分为三类,A类物品最重要且周转率最高,B类次之,C类最低。这种分类有助于优先管理...
google-oauth-serviceAccount
06-02
google-oauth-serviceaccount 动机: 想要访问我的个人日历,而不是 Google Apps 的日历,并且在没有任何交互的情况下没有找到具有node.js 的好示例。 安装: npm install google-oauth-serviceaccount 准备: ...
AccountService
06-20
AccountService】是一个基于Java的客户端-服务器应用,它展示了如何通过Remote Method Invocation(RMI)接口实现客户端和服务器间的通信。在这个项目中,我们主要关注以下几个关键知识点: 1. **远程方法调用...
accountservice
03-06
accountservice
ServiceAccounts 及 Secrets 重大变化
小云的博客
05-25 1689
关于 ServiceAccounts 及其 Secrets 的重大变化 kubernetes v1.24.0 更新之后进行创建 ServiceAccount 不会自动生成 Secret 需要对其手动创建创建 ServiceAccount cat<<EOF|kubectlapply-f- apiVersion:v1 kind:ServiceAcco...
K8S ServiceAccount
summer_fish的专栏
08-07 1960
一、ServiceAccount通常被用于授权Pod与集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccount,Kubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
k8s:UserAccountServiceAccount、Role、ClusterRole
最新发布
weixin_50606361的博客
09-07 980
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
Service Account
喝醉酒的小白
09-18 520
Service Account:kubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。
【kubernetes系列】Kubernetes之ServiceAccount
margu_168的博客
07-12 1830
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
Kubernetes-一文详解ServiceAccount与RBAC权限控制
Dragon的博客
10-01 2352
目录 一,服务帐号 1.ServiceAccount介绍 2.Secret与SA(ServiceAccount)的关系 3.默认的服务帐户 4.使用自定义SA 5.ServiceAccount中添加图片拉秘诀 二,RBAC 1.RBAC介绍 2,角色和集群角色 3,角色绑定和集群角色绑定 实践:创建一个用户只能管理称为vfan的NameSpace 一,服务帐号 1.ServiceAccount介绍 首先,Kubernetes中账户区分为:用户帐户(用户帐户)和服务帐户(服务帐
devops之k8s持续部署
11-02
本课程需要有一定的kubernet及docker基础,主要讲解了基于 kubernetes 集群架构,Jenkins如何在其集群上,通过管道实现构建 –> 功能测试 -> 发布版本 -> 生成部署 -> 产品测试 -> 清理管道垃圾 。整个过程穿插使用 docker仓库(Harbor)和 Helm 仓库(ChartMuseum),让环境更加贴近企业环境使用。
k8s之ServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
ServiceAccount创建
06-01
要创建一个 Service Account, 你需要先登录到 Google Cloud Console,并打开你的项目。 接下来,你需要完成以下步骤: 1. 打开左侧导航菜单,选择 "IAM & Admin",然后选择 "Service Accounts" 选项卡。 2. 点击 "Create Service Account" 按钮。 3. 输入 Service Account 的名称,并选择一个 Service Account ID。Service Account ID 是 Service Account 的唯一标识符,它将用于在代码中引用 Service Account。 4. 选择一个角色,以授予 Service Account 所需的权限。例如,你可以选择 "Project" > "Editor" 角色,以授予 Service Account 在整个项目中具有编辑权限。 5. 在 "Create Key" 部分,选择一个密钥类型,然后点击 "Create" 按钮。这将创建一个 JSON 文件,其中包含 Service Account 的私钥和其他详细信息。 6. 将此 JSON 文件下载到你的本地计算机,以便在代码中使用该 Service Account。 请注意,为了保护你的项目和数据安全,你应该仅为 Service Account 授予最低权限,使其能够完成其所需的任务,而不授予不必要的权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值