【k8s】pod和serviceaccount关系

已于 2024-08-15 19:08:15 修改
阅读量1.2k 收藏 30
点赞数 26
文章标签: kubernetes 容器 云原生
于 2024-08-15 18:59:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45406092/article/details/141220770
版权

文章目录

概述

Pod 和 ServiceAccount 在 Kubernetes 中是密切相关的。具体来说,ServiceAccount 是 Kubernetes 中用于控制 Pod 与 API 服务器交互时的身份验证和授权的机制。

1. 主要联系点

  1. Pod 使用 ServiceAccount 进行身份验证:
  • 每个 Pod 在与 Kubernetes API 服务器交互时,都需要通过一个 ServiceAccount 来进行身份验证。默认情况下,如果你没有指定 Pod 使用哪个 ServiceAccount,Kubernetes 会自动将 Pod 绑定到命名空间中的默认 ServiceAccount(default)。
  1. ServiceAccount 中的权限:
  • ServiceAccount 本质上是一组权限,定义了 Pod 在与 Kubernetes API 服务器交互时可以执行哪些操作(例如,读取 ConfigMap、创建 Pods、列出服务等)。这些权限通过绑定到 Role 或 ClusterRole 来控制。
  • RoleBinding 或 ClusterRoleBinding 是 Kubernetes 中的资源,它们将 ServiceAccount 与具体的权限集(Role 或 ClusterRole)绑定在一起。
  1. 自动挂载凭据:
  • 当 Pod 启动时,Kubernetes 会自动将与 ServiceAccount 相关联的凭据(通常是一个 JWT 令牌和 API 服务器的 CA 证书)挂载到 Pod 中的 /var/run/secrets/kubernetes.io/serviceaccount 目录下。
    这些凭据允许 Pod 内的应用程序通过 Kubernetes API 服务器进行身份验证,以执行有权限的操作。
  1. 自定义 ServiceAccount:
  • 如果你希望某个 Pod 具有特定的权限或访问受限的资源,可以为该 Pod 指定一个自定义的 ServiceAccount。例如,以下 YAML 定义了一个使用自定义 ServiceAccount 的 Pod:
apiVersion: v1
kind: Pod
metadata:
  name: my-pod
  namespace: my-namespace
spec:
  serviceAccountName: my-service-account
  containers:
  - name: my-container
    image: my-image

在这个例子中,Pod my-pod 将使用 my-service-account 进行身份验证,而不是使用默认的 default ServiceAccount。

2. 典型用例:

  1. 权限隔离:

通过为不同的应用或 Pod 配置不同的 ServiceAccount,你可以有效地隔离权限,确保每个 Pod 只能访问和操作特定的资源。

  1. 安全性增强:

通过为 Pod 分配特定的 ServiceAccount,并将其权限最小化(例如,通过 Least Privilege 原则),你可以减少安全漏洞的风险,防止 Pod 过度访问集群中的资源。

  1. Pod 与 API 服务器交互:

某些 Pod 需要与 Kubernetes API 服务器进行交互,例如监控应用、自动化任务等。你可以通过为这些 Pod 分配合适的 ServiceAccount 来确保它们具有必要的权限。

3. 总结:

Pod 和 ServiceAccount 的联系体现在权限管理和安全控制上。通过 ServiceAccount,你可以控制 Pod 如何与 Kubernetes API 服务器交互,授予它们执行任务所需的最小权限,从而增强集群的安全性和管理性。

4. serviceaccount详解

"containers": [
        "volumeMounts": [
                            {
                                "mountPath": "/var/run/secrets/kubernetes.io/serviceaccount",
                                "name": "kube-api-access-7r7ch",    //容器引用了一个volume
                                "readOnly": true
                            }
                        ]
............................
        "serviceAccount": "default",
        "serviceAccountName": "default",
.........................
       "volumes": [
            {
                "name": "kube-api-access-7r7ch",          //定义的volume
                "projected": {
                    "defaultMode": 420,
                    "sources": [                                 //
                        {
                            "serviceAccountToken": {
                                "expirationSeconds": 3607,
                                "path": "token"
                            }
                        },
                        {
                            "configMap": {
                                "items": [
                                    {
                                        "key": "ca.crt",
                                        "path": "ca.crt"
                                    }
                                ],
                                "name": "kube-root-ca.crt"
                            }
                        },
                        {
                            "downwardAPI": {
                                "items": [
                                    {
                                        "fieldRef": {
                                            "apiVersion": "v1",
                                            "fieldPath": "metadata.namespace"
                                        },
                                        "path": "namespace"
                                    }
                                ]
                            }

这个 JSON 片段描述了 Kubernetes 中一个 Pod 的 volume 配置,该 volume 名为 kube-api-access-58tmd,用于将与 ServiceAccount 相关的凭据和信息挂载到 Pod 中。具体来说,这段配置是将凭据和配置信息投射(projected)到容器内,以便 Pod 使用这些信息与 Kubernetes API 服务器进行交互。

具体解析:

  1. Volume 名称 (name: “kube-api-access-58tmd”):

kube-api-access-58tmd 是该 volume 的名称。这是 Kubernetes 自动生成的一个名称,可能会根据 Pod 的不同实例生成不同的名称。
projected 字段:

projected 是一种特殊的 volume 类型,允许你将多个资源(如 ServiceAccountToken、ConfigMap、DownwardAPI 等)的内容投射到一个单一的 volume 中。

  1. defaultMode: 420:

这是这个 volume 内所有文件的默认权限设置,以八进制表示。420 表示权限 0644,即文件所有者可以读写,其他用户只能读取。

  1. sources 数组:

这个数组包含了多个资源的定义,这些资源的内容将被投射到这个 volume 中。

  1. sources 内的各个资源解释:

4.1) serviceAccountToken:

  • expirationSeconds: 3607:
    这个字段指定了生成的 ServiceAccountToken 的有效期,以秒为单位。3607 秒大约等于 1 小时 1 秒。这意味着这个令牌将在 1 小时后过期。
  • path: “token”:
    指定了该令牌在 volume 中的存储路径。这个令牌将被保存为 token 文件。

4.2) configMap:

  • name: “kube-root-ca.crt”:
    这个字段表示 ConfigMap 的名称为 kube-root-ca.crt。这个 ConfigMap 通常包含 Kubernetes API 服务器的根证书。
  • items:
    • key: “ca.crt”:ca.crt 是 ConfigMap 中的键名,表示证书的内容。
    • path: “ca.crt”:指定了 ca.crt 文件在 volume 中的存储路径。这个证书文件将被保存为 ca.crt。

4.3) downwardAPI:

  • DownwardAPI 是 Kubernetes 中的一种机制,用于将 Pod 的元数据(如名称、命名空间、标签等)投射到容器中。
  • fieldRef:
    • apiVersion: “v1”:指定使用 Kubernetes API 的版本。
    • fieldPath: “metadata.namespace”:指定要投射的字段是 Pod 所在的命名空间。
  • path: “namespace”:指定了命名空间信息在 volume 中的存储路径。这个信息将被保存为 namespace 文件。

这个 volume 配置将多个资源投射到 Pod 中,包括 ServiceAccount 的访问令牌、API 服务器的根证书以及 Pod 的命名空间信息。这些资源通常被挂载到 Pod 的容器内,使得应用程序能够安全地与 Kubernetes API 服务器进行交互。例如,应用可以使用令牌来验证自身身份,用证书来验证服务器的身份,或者根据命名空间信息进行逻辑处理。

云川之下
关注
k8sServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
k8s篇-Pod配置管理
qq_19676401的博客
11-03 1386
kubernetes中,一个Pod容器要运行,可能会用到多种配置信息,比如应用配置文件、环境变量、命令行参数、账号密码、token等信息,以及Pod运行时所需要的CPU和内存资源,还有Pod在集群中的身份认证问题等等。 在k8s中这些都是如何管理起来的?主要有以下几种方式: ConfigMap:可变配置(环境变量、配置文件、命令参数等) Secret:敏感信息(账号密码、Token等) ServiceAccount:身份认证 Spec.Containers.Resources.limits/re
K8S ServiceAccount
summer_fish的专栏
08-07 2078
一、ServiceAccount通常被用于授权Pod与集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccountPod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccountKubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
k8sservice account
fengcai_ke的博客
07-11 3584
k8s service account分析
k8s的认证和service account简述
weixin_30608131的博客
05-21 402
k8s的认证: 与API server通信的客户端大致有两类: 1.集群客户端工具(kubectl、kubeadm、kubelet等) 2.集群内pod. 任何客户端访问k8s时的过程: 1.认证:任何客户端访问k8s,首先需要通过k8s的认证;认证通过是说明所用账号只是k8s的合法用户; 2.授权:认证通过后,是否具有对k8s集群中资源的操作,需要k8s对其进行授权检查; 3.准入...
k8s创建服务账号——Service Account
热门推荐
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
k8s-gke-service-account-assigner:为在Kubernetes上运行的Pod提供不同的Google服务帐户和范围
02-03
k8s-gke-service-account-assigner 根据注释为在kubernetes集群中运行的容器提供Google服务帐户令牌。 受到启发并 语境 服务帐户已附加到实例,并且服务可以通过Google实例元数据API的google-cloud-sdk透明使用而...
k8s中部署prometheus的镜像
03-23
Kubernetesk8s)集群中部署Prometheus是一个常见的监控解决方案,Prometheus是一款强大的开源监控和警报系统,能够实时收集和分析时间序列数据。本文将详细介绍如何在k8s环境中部署Prometheus的镜像。 一、...
Kubernetes K8SPod 生命周期与postStart、preStop事件
踏歌行的专栏
08-18 3492
Kubernetes 支持 postStart 和 preStop 事件。当一个主容器启动后,Kubernetes 将立即发送 postStart 事件;在主容器被终结之前,Kubernetes 将发送一个 preStop 事件。
K8sService Account和RBAC
l1727377的博客
12-16 2580
①.ServiceAccount(服务账户)是Kubernetes集群中的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够与Kubernetes API进行交互。②.ServiceAccountKubernetes中用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群中具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
K8s 安全访问:ServiceAccount
码代码的陈同学
03-14 1403
欢迎访问博客原文 官方:Kubernetes API 访问控制 官方:K8s 认证模块 官方:管理 Service Accounts 官方:使用准入控制插件 本文介绍 ServiceAccount(服务账户,简称sa)的相关内容。 访问 K8s Api Server 需要授权,有几种角色需要访问 apiserver: 运维用户:通过 kubectl 交互,api server 会绑定一个特定...
K8S学习指南(36)-k8s权限管理对象ServiceAcount
俞兆鹏的博客
12-24 1201
通过本文,我们深入了解了Kubernetes中权限管理对象ServiceAccount的基本概念、使用方法,并通过详细的示例演示了如何创建ServiceAccount,并将其与Pod关联,以实现身份验证。在示例中,我们将创建一个ServiceAccount,并将其关联到一个简单的Pod,演示Pod如何使用ServiceAccount提供的令牌进行身份验证。上述步骤演示了如何创建ServiceAccount,并将其与Pod关联,以便在Pod中获取ServiceAccount提供的令牌进行身份验证。
k8sServiceAccount权限详解、RBAC 详解(基于角色的访问控制),常用操作指令
mingqing的博客
11-29 4903
文章目录Service Account应用示例RBAC 详解(基于角色的访问控制)创建一个角色(role)---权限实验二常用操作指令 Service Account应用示例 概念图权限关系 我自己的理解就是,Service Account就是pod的权限 1、创建serviceaccount [root@kub-k8s-master ~]# kubectl create serviceaccount mysa serviceaccount/mysa created 2、查看mysa [root@kub
k8s学习笔记-认证(Serviceaccount)
weixin_30274627的博客
05-09 641
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理, 其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiser...
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 2108
梳理出ServiceAccount服务账号一条线
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 7949
KubernetesService Account 是如何工作的
KubernetesService Account
最新发布
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-14 609
Kubernetes 中,Service Account(服务账户)是一种特殊的 Kubernetes 账户,主要用于在 Pod 内运行的应用程序,以便这些应用程序能够与 Kubernetes API 进行交互,比如读取或修改 Kubernetes 对象。每个命名空间下默认都会有一个名为default的服务账户,也可以创建额外的服务账户来满足不同权限需求。
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 1920
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
k8sServiceAccount的作用
07-17
Kubernetes中的ServiceAccount用于为Pod提供身份验证和授权,它是用于识别和验证Pod的一种机制。每个Pod都可以关联一个ServiceAccount,该ServiceAccount代表PodKubernetes API服务器进行交互时使用的身份。 ServiceAccount通过为Pod提供一个身份标识,可以使PodKubernetes集群中的其他资源进行交互,例如访问API服务器、调用其他服务、获取Secret等。ServiceAccount可以分配给Pod的运行环境,而不是直接与Pod中的容器关联。 通过为Pod分配不同的ServiceAccount,可以实现不同Pod之间的权限隔离和控制。这样可以确保只有授权的Pod能够访问特定资源,从而提高集群的安全性。 总结来说,ServiceAccountKubernetes中起到了身份验证和授权的作用,为Pod提供了与Kubernetes集群交互的身份标识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值