k8s sa

最新推荐文章于 2024-08-29 18:17:02 发布
最新推荐文章于 2024-08-29 18:17:02 发布
阅读量253 收藏 3
点赞数 2
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljj19910401/article/details/141638576
版权

在Kubernetes(K8S)中,SA是Service Account(服务账户)的简称。Service Account是Kubernetes集群中的一种资源对象,用于识别和验证Pod访问集群中其他资源的身份。以下是关于K8S SA的详细解释:
一、Service Account的基本概念

  • 身份认证与授权:Service Account用于Pod与Kubernetes API Server之间的通信身份认证,并为Pod提供访问集群资源的权限。
  • 自动创建与挂载:每个Pod在创建时都会自动分配一个默认的Service Account,该Service Account对应的Secret(包含Token、CA证书和Namespace信息)会自动挂载到Pod的/var/run/secrets/kubernetes.io/serviceaccount路径下。
    灵活性与安全性:通过为Pod分配不同的Service Account,可以实现细粒度的权限控制,提高集群的安全性。

二、Service Account的作用

  • 身份验证:Service Account为Pod提供了一种与Kubernetes API Server通信的身份证明,确保只有经过认证的Pod才能访问集群资源。
  • 权限控制:通过RBAC(Role-Based Access Control,基于角色的访问控制)机制,可以将Service Account绑定到特定的Role或ClusterRole上,从而控制Pod对集群资源的访问权限。
  • 资源访问:Pod可以使用其Service Account的Token来访问Kubernetes集群中的其他资源,如Pod、Service、ConfigMap等。

三、Service Account的创建与管理

  • 创建Service Account:可以使用Kubernetes的YAML配置文件来创建Service Account,并通过kubectl apply -f命令将其部署到集群中。
  • 绑定Role或ClusterRole:创建Service Account后,需要将其绑定到相应的Role或ClusterRole上,以赋予Pod对集群资源的访问权限。
  • 查看Service Account信息:可以使用kubectl describe sa 命令来查看Service Account的详细信息,包括其关联的Secret和Token等。

四、示例

以下是一个创建Service Account并将其绑定到Role的示例:

# 创建Service Account  
apiVersion: v1  
kind: ServiceAccount  
metadata:  
  name: my-service-account  
  namespace: default  
---
# 创建Role  
apiVersion: rbac.authorization.k8s.io/v1  
kind: Role  
metadata:  
  name: my-role  
  namespace: default  
rules:  
- apiGroups: [""]  
  resources: ["pods"]  
  verbs: ["get", "list", "watch"]  
---
# 创建RoleBinding  
apiVersion: rbac.authorization.k8s.io/v1  
kind: RoleBinding  
metadata:  
  name: my-role-binding  
  namespace: default  
roleRef:  
  apiGroup: rbac.authorization.k8s.io  
  kind: Role  
  name: my-role  
subjects:  
- kind: ServiceAccount  
  name: my-service-account  
  namespace: default

在这个示例中,我们创建了一个名为my-service-account的Service Account,一个名为my-role的Role(允许对Pods进行get、list、watch操作),以及一个名为my-role-binding的RoleBinding(将my-service-account绑定到my-role上)。这样,任何使用my-service-account的Pod都将能够访问集群中的Pods资源。
五、总结

K8S SA(Service Account)是Kubernetes集群中用于身份认证和授权的重要机制,通过为Pod分配不同的Service Account并绑定相应的Role或ClusterRole,可以实现细粒度的权限控制,提高集群的安全性和灵活性。

条纹布鲁斯
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s sa role rolebinding secret
qq_30553857的博客
05-05 1573
一、在RBAC中的几个概念: 1、什么是RBAC RBAC全称Role-Based Access Control,是Kubernetes集群基于角色的访问控制,实现授权决策,允许通过Kubernetes API动态配置策略。 2、什么是Role Role是一组权限的集合,例如Role可以包含列出Pod权限及列出Deployment权限,Role用于给某个NameSpace中的资源进行鉴权。 3、什么是ClusterRole ClusterRole是一组权限的集合,但与Role不同的是,ClusterRo
k8s-RBAC与SA
fzzjoy的专栏
04-24 540
文章目录RBACRole和RoleBindingRoleRoleBinding验证ClusterRole和ClusterRoleBindingClusterRoleClusterRoleBinding验证定义ServiceAccount参考 RBAC 基于角色的访问控制(Role-Based Access Control, 即”RBAC”)使用”rbac.authorization.k8s.io” API Group实现授权决策,允许管理员通过Kubernetes API动态配置策略。 基于RBAC配置U
k8s创建用户(serviceaccount)没有token
weixin_65951291的博客
11-16 640
新版本的k8s需要手动生成。
K8S 配置管理
elihe2011的专栏
12-23 1141
1. ConfigMap 用途:应用配置管理,实现配置数据和应用程序代码分离 典型场景: 替换环境变量 替换配置文件 热更新: 挂载的 ENV 不会同步更新 挂载的 Volume 延迟更新 (10s左右) 1.1 创建配置 # 使用字面值创建 kubectl create configmap mysql-config --from-literal=db.host=192.168.3.100 --from-literal=db.port=3306 # 通过文件创建 kubectl create co
k8s:UserAccount、ServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 1074
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccount是Pod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
k8s 1.28版本二进制安装
扛麻袋的少年的博客
10-13 6519
k8s 1.28版本二进制安装
K8s随笔
fourierr的博客
10-22 1686
1、CRD.yaml编写: CRD的type:integer类型--reconcile的int类型,CRD的format:float64 type:number类型--reconcile的float64类型
k8s之删除机制
fourierr的博客
05-30 2058
1、finalizers: 对象终结器,列表内的键为空时资源才可被删除。 当我们删除带有 finalizers 字段的对象时,该对象首先会被添加 deletionTimestamp(删除时间戳)字段,并一直处于预删除只读状态(删除终结器键更新除外),直到某些控制器删除或使用 Kubectl 删除该对象终结器之前,真正的删除都不会完成,同时一旦终结器列表为空,k8s gc就会回收该对象,将其放入要从注册表中删除的队列中。 2、owner references: 所有者引用,即父资源对象是谁 ...
大白话的方式跟你聊k8s中的SA和UA
weixin_46403879的博客
08-01 2534
一、Service Account总结 1、service account到底是什么? 在k8s中,service account是给集群中的进程使用的,当集群中的pod/进程需要跟apiserver申请调用资源时使用时使用的;我们用户是不会去使用它的;举个很形象的例子,就像nginx服务中的nginx账号一样,我们一般是不会使用su去登录它并且使用它的;如下,就能很直观的明白了: # For more information on configuration, see: # * Official
k8s证书修改为10年文件
06-13
Kubernetes(简称k8s)环境中,证书是保障集群安全和通信的重要组成部分。默认情况下,k8s的证书有效期通常为一年,但这可能会导致在证书即将到期时需要频繁进行更新,增加了管理负担。本教程将详细介绍如何将k8s...
k8s sa配置示例
10-19
K8s SA(Service Account)是一种用于身份验证和授权的对象,它代表了一个Pod或一组Pod。下面是一个K8s SA的配置示例: 1. 创建一个命名空间: ``` kubectl create namespace test ``` 2. 创建一个Service Account:...
k8s sa使用示例
10-19
下面是一个k8s SA的使用示例: 1. 创建一个SA对象:kubectl create sa my-sa 2. 创建一个角色:kubectl create role my-role --verb=get,list,watch --resource=pods 3. 将角色绑定到SA上:kubectl create ...
k8s安全
ljj19910401的博客
08-29 521
Kubernetesk8s)的安全机制是围绕保护其API Server来设计的,主要包括认证(Authentication)、鉴权(Authorization)和准入控制(Admission Control)三个核心环节。
k8s dial tcp 10.97.0.1:443: i/o timeout
最新发布
weixin_40548182的博客
08-29 35
使用 kubeadm 部署完 k8s ,使用 projectcalico/tigera-operator 这个 chart 部署 calico ,卡在了 tigera-operator 这个 namespace 下的 pod tigera-operator-54b47459dd-n4x72,该 pod 一直重启,查看该 pod 日志发现如下报错。查看 endpoints,发现 kubernetes 的 ENDPOINTS 地址不对,这个地址是 node 上另外一个段的,这个段不是所有的主机都能通。
k8s的组件以及安装
Hai990218的博客
08-28 1290
分为主节点和node节点,主节点就是核心,kube-apiserver大脑:所有的一切都要通过kube-apiserver来调用,所有的一切最终都要保存到etcd中,etcd就是保存集群信息的数据库,怎么部署都是靠kube-controller-manager,往哪里部署靠kube-scheduler。到了node节点上,kubelet负责真正部署、控制容器,跨主机网络之间通信通过kube-proxy,服务是由底层docker来启动的。流程图kube-apiserver先接受信息,kube-
K8S ReplicaSet
王小工小工历程
08-29 203
Kubernetes(通常拼写为 Kubernetes,而不是 kubernate)中,ReplicaSet(副本集)是一种 Kubernetes 控制器,它确保由它管理的 Pod(容器组)的数量与预期的副本数量相匹配。如果 Pod 被删除或因为某些原因终止了(比如节点故障),ReplicaSet 会自动创建新的 Pod 来替换它们,以维持预期的副本数量。ReplicaSet 是 Kubernetes 部署(Deployments)和状态集(StatefulSets)等更高级抽象背后的关键组件之一。
kubenetes--资源调度
小李学不完的博客
08-25 1034
资源调度:Label和Selector:标签(Label)、选择器(Selector)。Deployment--无状态应用:功能、配置文件。StatefulSet:功能、配置文件。DaemonSet:配置文件、不指定Node节点、指定Node节点、滚动更新。HPA自动扩/缩容:开启指标服务、cpu、内存指标监控、自定义metrics。
k8s的Service和持久化存储
cc2022928的博客
08-29 525
service是一组Pod的逻辑集合,这一组Pod能够被Service访问到,通常是通过Label Selector实现的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值