Kubernetes 中Service Account

最新推荐文章于 2024-07-06 11:28:59 发布
最新推荐文章于 2024-07-06 11:28:59 发布
阅读量597 收藏 7
点赞数 12
分类专栏: Kubernetes(K8S) 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzyever/article/details/138823202
版权

目录

  • 一、服务账户的组成部分
  • 二、创建服务账户
  • 三、绑定权限
  • 四、在Pod中使用服务账户
  • 五、注意事项

在 Kubernetes 中,Service Account(服务账户)是一种特殊的 Kubernetes 账户,主要用于在 Pod 内运行的应用程序,以便这些应用程序能够与 Kubernetes API 进行交互,比如读取或修改 Kubernetes 对象。每个命名空间下默认都会有一个名为 default 的服务账户,也可以创建额外的服务账户来满足不同权限需求。

一、服务账户的组成部分

  1. Token Secret: 服务账户会自动关联一个 Secret,这个 Secret 包含了一个用于 API 认证的令牌(token)。Pod 中的应用可以通过环境变量、文件挂载或 API 请求获取这个 token 来认证自己。

  2. API访问权限: 服务账户可以通过关联的 Role 或 ClusterRole(通过 RoleBinding 或 ClusterRoleBinding)来定义它能访问哪些资源和执行哪些操作。

二、创建服务账户

下面是如何创建一个自定义服务账户的 YAML 示例:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-app-account
  namespace: my-namespace

三、绑定权限

接着,可以为这个服务账户绑定角色,例如赋予它读取 Pod 的权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: pod-reader
  namespace: my-namespace
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]

---

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-reader-binding
  namespace: my-namespace
subjects:
- kind: ServiceAccount
  name: my-app-account
  namespace: my-namespace
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

四、在Pod中使用服务账户

一旦服务账户创建并配置好权限,就可以在 Pod 定义中指定使用哪个服务账户。默认情况下,Pod 使用所在命名空间的 default 服务账户,但可以通过以下方式指定:

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
  namespace: my-namespace
spec:
  serviceAccountName: my-app-account # 指定服务账户
  containers:
  - name: my-container
    image: my-image

五、注意事项

  • 服务账户的权限应该遵循最小权限原则,即仅给予完成任务所必需的最小权限集。
  • 服务账户的 Secret(包含 API 访问令牌)应该妥善管理,避免泄露。
  • 如果Pod不需要与API服务器交互,可以考虑不指定服务账户或者使用没有附加权限的服务账户。
lzyever
关注
  • 12
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes ServiceAccount(服务账号)
叱咤少帅的博客
06-05 67
kubernetes ServiceAccount(服务账号)
Kubernetes SerivceAccount
叶康铭的博客
02-27 1110
什么是Service Account Service Account是为了解决Kubernetes集群内部资源认证问题而诞生,例如Pod的进程想调用Kubernetes API或者其他外部服务。 Service Account基本操作 通过kubectl创建ServiceAccount kubectl create sa nginx-sa 可以见到创建了ServiceAccount之后也自动创建...
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 1894
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
Kubernetes RBAC 之 ServiceAccount
最新发布
千度阿三的博客
07-06 986
RABC 英文全称是 Role-Based Access Control,它通过角色绑定账户,来使得账户拥有某些操控 K8S 集群的权限。ServiceAccount 是集群内部 Pod 访问集群所使用的服务账户,它包括了 Namespace、Token、Ca 证书,并且通过目录挂载的方式绑定 Pod。当 Pod 运行起来的时候,就会使用这些信息与 ApiServer 进行通信。
kubernetesService Account
weixin_33919941的博客
05-31 299
kubernetesService Account Service account作用Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务。 Service account使用场景运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群...
KubernetesServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
kubernetesservice account
weixin_30698297的博客
07-29 1488
介绍 1.service account 也是一种账号, 但它不是给kubernetes集群的用户(系统管理员, 运维人员)用的, 而是给运行在pod里的进程用的, 它为pod里的进程提供了必须的身份证明 2.kubernetes在创建一个namespace, 会为每个namespace下都一个名为default的默认serviceaccount对象, 在这个service accoun...
kubernetes10——访问控制(serviceaccount、useraccount、RBAC)
qwejiaji的博客
08-05 876
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
pod-reader:使用kubernetes ServiceAccount来查询指定名称空间的pod信息的简单python脚本
02-11
使用Kubernetes ServiceAccount来查询指定名称空间的pod信息的简单python脚本。 构建容器后,预期用途如下: $ kubectl run pod-explorer --image=pod-explorer:1.0 -- $ kubectl logs pod-explorer 使用此容器...
kubernetes之基于ServiceAccount拉取私有镜像
m0_73679848的博客
09-15 455
这里根据自己的实际去定义即可;一定要是对的地址和认证信息;否则无法pull/push1.1查看SecretsData====
025 Kubernetes认证及serviceaccount.mp4
05-07
025 Kubernetes认证及serviceaccount.mp4
kubernetes ServiceAccount 配置
泽佑兄弟 ZYbros
06-16 1911
开始配置Kubernetes集群的时候为了少出问题,都是在apiserver配置去掉ServiceAccount采用非安全连接的方式,但在后面配置FEK日志的过程,很多时候绕不开这个安全机制,但因为开始在centos上安装是通过yum的方式,所以那些ca.crt,server.crt,kubecfg.key等文件都是没有的。自己手工去建了好几次最后都有一些问题。 本文是基于git-hubm
在 kubectl 使用 Service Account Token
Kubernetes中文社区
08-24 2752
在运行基于 Kubernetes 的 CI/CD 过程,经常有需求在容器Kubernetes 的资源进行操作,其隐藏的安全问题,目前推荐的最佳实践也就是使用 Service Account 了。而调试账号能力的最好方法,必须是 kubectl 了。下面就讲讲如何利用 kubectl 引用 Servie Account 凭据进行 Kubernetes 操作的方法。 这里用 def
Kubernetesservice account
韦远科的专栏
02-15 7187
service account,顾名思义,主要是给service使用的一个账号。 具体一点,就是为了让Pod的进程、服务能访问k8s集群而提出的一个概念,基于service account,pod的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。 kubernetes,每个命名空间默认会有一个名为“default”的serv...
KubernetesServiceAccount
weixin_30670965的博客
11-05 281
ServiceAccount 是什么 Service Account为Pod的进程和外部用户提供身份信息。所有的kubernetes集群账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户)。 大家都知道api server的集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们必须需要一些认...
KubernetesServiceaccount
屈帅波的技术博客
11-27 558
1.创建serviceaccount K8s集群账号分为用户账号useraccountServiceaccount(是指pod想访问api-server要用到的用户账号密码等) apiVersion: v1 kind: ServiceAccount metadata: name: admin namespace: default 2.自定义pod连接api的认证用户 apiVersio...
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
kubernetesService Account和secret
weixin_30954607的博客
06-15 216
系列目录 Service Account Service Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。 kubectl get sa --all-name...
K8S ServiceAccount
summer_fish的专栏
08-07 2071
一、ServiceAccount通常被用于授权Pod与集群的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccountKubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
Kubernetes实战:微服务与Service详解
Kubernetes提供了多种认证机制,如X509证书、ServiceAccount和Token等,确保只有授权的实体可以操作集群资源。 Kubernetes通过其强大的微服务管理和自动化部署能力,简化了云原生应用的运维。叶伙荣的培训内容涵盖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值