kubernetes ServiceAccount(服务账号)

已于 2024-06-06 16:39:53 修改
阅读量135 收藏
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
于 2024-06-05 14:52:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/knight_zhou/article/details/139472399
版权
Kubernetes ServiceAccount为Pod内进程提供身份,映射到ServiceAccount对象。每个命名空间默认有default账户,可用于与API交互。服务账户由Token Secret和API访问权限组成,权限通过RoleBinding或ClusterRoleBinding定义。创建和配置好服务账户后,可在Pod定义中指定使用。
摘要由CSDN通过智能技术生成

官网

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/


## 云服务
https://docs.aws.amazon.com/eks/latest/userguide/lbc-helm.html

简介

Kubernetes 提供两种完全不同的方式来为客户端提供支持,这些客户端可能运行在你的集群中, 也可能与你的集群的控制面相关, 需要向 API 服务器完成身份认证。

服务账号(Service Account) 为 Pod 中运行的进程提供身份标识, 并映射到 ServiceAccount 对象。当你向 API 服务器执行身份认证时, 你会将自己标识为某个用户(User)。Kubernetes 能够识别用户的概念

了解本专栏 订阅专栏 解锁全文 超级会员免费看
叱咤少帅(少帅)
关注
专栏目录
订阅专栏
Kubernetes】基于serviceaccount来实现k8s连接私有仓库
cnskylee的博客
08-26 407
当我们需要在K8s集群中部署pod的时候,我们通常会选择从外网将需要镜像拉取到本地,然后上传到本地私有仓库,最后修改deploy.yaml文件中的image地址为所需镜像的本地私有仓库地址。涉及的步骤如下: ======== 以安装ingress-nginx为例 ========== ---创建namespace: ingress-nginx $ kubectl create namespace ingress-nginx ---创建连接私有仓库的registrykey: ingres...
User “system:serviceaccount:xxx:default“ cannot get resource “endpoints“ in API group ““问题解决
小末的博客
11-27 1万+
一、报错信息描述 错误信息: Message: Forbidden!Configured service account doesn't have access. Service account may have been revoked. endpoints "xxx" is forbidden: User "system:serviceaccount:xxx:default" cannot get resource "endpoints" in API group "" in the namesp
k8s安装kubernetes dashboard
tearofthemyth的专栏
01-27 1536
文章目录GitHub地址一、安装k8s dashboard二、配置权限1.访问dashboard2.配置权限三、附件1.原版recommended.yaml2.修改后的recommended.yaml GitHub地址 k8s dashboard的GitHub地址可以点这里。 一、安装k8s dashboard 首先我们参考GitHub上的说明进行安装,只需执行下面的一行命令: $ kubectl apply -f https://raw.githubusercontent.com/kubernetes/d
serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard“
kongkong的专栏
04-22 3807
错误信息 serviceaccounts is forbidden: User “system:serviceaccount:kubernetes-dashboard:kubernetes-dashboard” cannot list resource “serviceaccounts” in API group “” in the namespace “default” 费了老大的功夫才明白是serviceaccount的问题,k8sdashboard出厂的serviceaccount权限太低,需要配置
K8S初级入门系列之十一-安全
恰恰虎的博客
07-23 850
metadata:创建完成后,查看详情可以看到 mountable secret和tokens都关联了一个名为my-servicesaccount-token-cz8kp的secret,我们查看其secret的详情Data====其data包含ca.crt,namespace,token密钥三部分,其中ca.crt即颁发的CA证书,namespace即命名空间,token文件中存放的密钥。这三部分的用途我们待会讲到。
kubernetes:pods is forbidden: User “system:serviceaccount:dev:default” cannot create resource “pods”
feiger的专栏
09-25 2万+
背景: 在gitlib-ci 对接kubernetes的时候报错: ERROR: Job failed (system failure): pods is forbidden: User “system:serviceaccount:dev:default” cannot create resource “pods” in API group “” in the namespace “dev” ...
kubernetes10——访问控制(serviceaccountuseraccount、RBAC)
qwejiaji的博客
08-05 954
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
kuberneteskubernetes api访问控制、useraccountserviceaccount的创建和绑定、rbac基于角色的访问授权
weixin_43384009的博客
05-07 3179
kubernetes1. kubernetes api访问控制2. 访问k8s的API Server的客户端3. UserAccountserviceaccount3.1 创建serviceaccount:3.2 添加secrets到serviceaccount中3.3 把serviceaccount和pod绑定起来:3.4 创建useraccount4. RBAC基于角色访问控制授权4.1 R...
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
K8S学习指南(36)-k8s权限管理对象ServiceAcount
最新发布
俞兆鹏的博客
12-24 1248
通过本文,我们深入了解了Kubernetes中权限管理对象ServiceAccount的基本概念、使用方法,并通过详细的示例演示了如何创建ServiceAccount,并将其与Pod关联,以实现身份验证。在示例中,我们将创建一个ServiceAccount,并将其关联到一个简单的Pod,演示Pod如何使用ServiceAccount提供的令牌进行身份验证。上述步骤演示了如何创建ServiceAccount,并将其与Pod关联,以便在Pod中获取ServiceAccount提供的令牌进行身份验证。
kubernetes系列】Kubernetes之RBAC
margu_168的博客
07-11 1343
k8s的权限控制在实际工作中不那么经常使用,但是却是很重要的,我们需要深入理解才能很好的解决某些问题。在我们现目前的了解中,常用的授权插件有以下几种: Node(节点认证) ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) Webhook(基于http回调机制的访问控制)kubernetes 集群相关所有的交互都需要通过apiserver来完成,对于这样集中式管理的系统来说,权限管理尤其重要,Kubernetes的授权是基于插件形式的,在1.5版的时候引入了基于角色的访问控制(Role-Bas
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 8348
KubernetesService Account 是如何工作的
kubernetes dashboard访问用户添加权限控制
yjh314的专栏
07-06 9518
前面我们在kubernetes dashboard 升级之路一文中成功的将Dashboard升级到最新版本了,增加了身份认证功能,之前为了方便增加了一个admin用户,然后授予了cluster-admin的角色绑定,而该角色绑定是系统内置的一个超级管理员权限,也就是用该用户的token登录Dashboard后会很强势,什么权限都有,想干嘛干嘛,这样的操作显然是非常危险的。接下来我们来为一个新的用户...
KubeSphere+DevOps部署遇到的坑 User “system:serviceaccount:kubesphere-devops-worker:default“ cannot get res
hcw52592的博客
01-24 7368
环境说明: kubernetes v1.21.5 kubesphere v3.2.1 KubeSphere+DevOps构建和部署 Maven 项目流程(官方推荐): 构建和部署 Maven 项目 下面记录一下本人遇到的问题: 如图,主要问题是出现在流水线第五步:将镜像自动部署到k8s集群 报错如上图: + envsubst + kubectl apply -f - Error from server (Forbidden): error when retrieving curre.
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
20 名词解释 Service Account
邓乐来Jacob的博客
06-29 2674
Service AccountService account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计;User account是跨namespace的,而service account则是仅局限它所...
kubernetesService Account和secret
柳清风的专栏
06-04 2万+
Service AccountService Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。kubectl get sa --all-namespacesNAME
Spark on Kubernetes提交测试任务失败报错:User "system:serviceaccount:default:default" cannot get resource "pods
merrily01的博客
11-06 8416
Spark On Kubernetes 通过cluster方式提交spark-submit example.jar包测试任务,driver-pod创建成功,任务失败,driver pod报错日志如下: External scheduler cannot be instantiated Caused by: io.fabric8.kubernetes.client.KubernetesClien...
Kubernetes1.13安装kubernetes-dashboard及遇到的坑
热门推荐
丿灬飞鱼的博客
12-11 2万+
Kubernetes1.13安装kubernetes-dashboardkubernetes-dashboard.yaml简介RBAC配置dashboard安装启动执行kubectl proxy命令直接通过apiserver访问最终解决方案该方案遇到的问题解决方案 kubernetes-dashboard.yaml简介 官网参考 官网推荐安装模式 kubectl create -f https:/...
kubectl create serviceaccount flink-service-account -n flink的作用
04-24
kubectl create serviceaccount flink-service-account -n flink 的作用是在 Kubernetes 集群中创建一个名为 flink-service-account服务账号,并将其命名空间设置为 flink。这个服务账号可以被用来代表 Flink 应用程序与 Kubernetes 集群进行交互,例如读取和写入 Kubernetes API。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叱咤少帅(少帅)

如果文章对你有帮助就打赏下吧!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值