k8s学习第20天--service account

已于 2023-05-05 15:51:03 修改
阅读量182 收藏
点赞数
分类专栏: k8s 文章标签: kubernetes 学习 容器 云原生
于 2023-05-04 15:40:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34893654/article/details/130488172
版权

Service Account

在 Kubernetes 中,Service Account 是一种用于在 Pod 内运行的特殊用户身份。每个 Service Account 都会分配一个唯一的名称和一个对应的 API 对象。

使用 Service Account 可以轻松管理 Pod 的身份验证和授权问题。在默认情况下,Kubernetes 会为每个 Namespace 分配一个默认的 Service Account,使得所有在该 Namespace 内创建的 Pod 都可以自动使用该 Service Account 进行身份验证。

Pod 可以通过两种方式来使用 Service Account:

  • 指定 Service Account:在 Pod 的定义文件中,可以明确指定该 Pod 所使用的 Service Account。例如,在以下示例中,spec.serviceAccountName 字段指定了该 Pod 所使用的 Service Account 名称:

    apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  serviceAccountName: my-sa
  containers:
  - name: my-container
    image: nginx

  • 使用默认 Service Account:如果未在 Pod 的定义文件中指定 Service Account,则该 Pod 将自动使用所在 Namespace 的默认 Service Account 进行身份验证。例如,在以下示例中,该 Pod 将使用默认的 Service Account 进行身份验证:

    apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: nginx

使用 Service Account 可以帮助您更好地管理 Kubernetes 集群的安全性,确保每个 Pod 都以正确的身份进行操作

应用场景

Service Account 在 Kubernetes 中有很多具体的应用场景,以下是其中一些常见的应用:

  • Pod 访问 Kubernetes API:在 Kubernetes 中,每个 Pod 都可以通过访问 Kubernetes API 来获取有关自身容器和其他资源的信息。但是,要使用 Kubernetes API,需要进行身份验证并具有适当的权限。在这种情况下,Service Account 可以帮助 Pod 安全地访问 Kubernetes API。

  • 自动化任务:在 Kubernetes 中,可以使用 CronJob 等机制来自动执行定期任务。而这些任务可能需要访问 Kubernetes API、持久化存储和其他资源。在这种情况下,可以为这些任务创建一个 Service Account,并授予它所需的权限,以确保其可以安全地执行任务。

  • 应用程序访问外部服务:在 Kubernetes 中,应用程序可能需要访问外部服务(例如数据库或消息代理)。在这种情况下,可以将访问外部服务的凭据存储在 Kubernetes Secret 中,并使用 Service Account 进行身份验证,防止凭据泄漏。

  • RBAC 授权:在 Kubernetes 中,可以使用 Role-Based Access Control(RBAC)来限制用户对 Kubernetes 资源的访问权限。在这种情况下,可以使用 Service Account 作为身份验证实体,并根据其角色分配相应的权限。

总之,Service Account 是 Kubernetes 中非常重要的一个概念,它可以帮助您更好地管理 Pod 的身份验证和授权问题,从而提高 Kubernetes 集群的安全

qq_34893654
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s之ServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
K8S ServiceAccount
summer_fish的专栏
08-07 1975
一、ServiceAccount通常被用于授权Pod与集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccount,Kubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
K8S学习之serviceacount~RBAC授权
weixin_60092693的博客
01-25 1409
第一部分、认证 kubernetes上的账号 kubectl explain pods.spec可以看到有一个字段serviceAccountName(服务账号名称),这个就是我们pod连接apiserver时使用的账号,整个kubernetes集群中的账号有两类,ServiceAccount(服务账号),User account(用户账号) User account:实实在在现实中的人,人可以登陆的账号,客户端想要对apiserver发起请求,apiserver要识别这个客户端是否有请求的权限,那么不同的
Kubernetes—Serviceaccount
屈帅波的技术博客
11-27 547
1.创建serviceaccount K8s集群账号分为用户账号useraccount和Serviceaccount(是指pod想访问api-server要用到的用户账号密码等) apiVersion: v1 kind: ServiceAccount metadata: name: admin namespace: default 2.自定义pod连接api的认证用户 apiVersio...
K8s中Service Account和RBAC
最新发布
l1727377的博客
12-16 2307
①.ServiceAccount(服务账户)是Kubernetes集群中的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够与Kubernetes API进行交互。②.ServiceAccount是Kubernetes中用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群中具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
k8s serviceAccountName填写后应用没有进行挂载问题处理
w2481296的博客
02-05 1590
k8s机制: 使用yaml文件创建应用时,填写serviceAccountName后,pod会自动挂载serviceAccount所创建的密钥。pod默认挂载default密钥. 问题: 使用Java方式创建应用,填写serviceAccountName后,pod密钥无法挂载。 问题定位与解决: 经过创建日志查到json确实填写了serviceAccountName。 后来经过资料查询,pod里有个字段automountServiceAccountToken 该字段作用决定serviceAccountNa
通过`spec.serviceAccountName`可以指定argo workflow pod运行时的serviceaccount
学亮编程手记
08-29 255
可以指定argo pod运行时的sa。
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 7608
Kubernetes 的 Service Account 是如何工作的
Kubernetes & ServiceAccount
来啊 快活啊
02-22 3004
ServiceAccount 每个namespace下有一个名为default的默认的ServiceAccount对象,这个ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。 如果一个Pod在...
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 1963
梳理出ServiceAccount服务账号一条线
K8s 安全访问:ServiceAccount
码代码的陈同学
03-14 1391
欢迎访问博客原文 官方:Kubernetes API 访问控制 官方:K8s 认证模块 官方:管理 Service Accounts 官方:使用准入控制插件 本文介绍 ServiceAccount(服务账户,简称sa)的相关内容。 访问 K8s Api Server 需要授权,有几种角色需要访问 apiserver: 运维用户:通过 kubectl 交互,api server 会绑定一个特定...
Kubernetes-API访问控制、serviceaccount、useraccount、RBAC、服务账户自动化
qq_46490950的博客
08-03 481
目录一.访问控制原理二.Authentication(认证)1.创建serviceaccount2. 创建UserAccount三.Authorization(授权)1.role示例2.ClusterRole示例四.服务账户的自动化 一.访问控制原理 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernete
Kubernetes详解(四十九)——ServiceAccount实战
永远是少年
05-09 1889
今天继续给大家介绍Linux运维相关知识,本文主要内容是ServiceAccount实战。 一、ServiceAccount创建 二、ServiceAccount应用
ServiceAccount在K8s上的说明
多头注意力探索Now
09-08 925
K8s上的实体账号的权限管理的抽象设计思想和实现
k8s 对接ceph并使用StorageClass动态创建pvc
隔壁老姚的博客
08-27 4928
k8s 对接ceph并使用StorageClass创建动态pvc 前提条件,已经安装ceph和k8s,具体环境信息如下: 一. 服务器环境 操作系统:centos 7.6 ceph版本:14.2.10(nautilus) k8s版本:v1.18.0 arch: ARM64 GO版本:go1.14.6 docker版本:19.03.12 在k8s中使用volume主要有两种使用方式,一种的静态方法,一种是动态方法,本文主要介绍动态方法。k8s集群默认不支持动态创建pvc,官方推出了external-sto
k8s之service account
fengcai_ke的博客
07-11 3476
k8s service account分析
kubernetes为何需要默认的serviceaccount
MyySophia的博客
04-26 835
在 Kubernetes 中,ServiceAccount 是一种用于身份验证和授权的对象。它为 Pod 提供了一种身份,以便它们可以与 Kubernetes API 交互,并且可以通过 Role 和 RoleBinding 为它们分配特定的权限。–update 2023年4月28日11:08:44 如果是一个普通的业务pod就不需要访问kube-apiserver,也没有必要额外创建对应的sa. 没有创建都会使用该ns下默认的sa.
Kubernetes之ServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
kubernetes 身份与权限认证 (ServiceAccount && RBAC)
weixin_33965305的博客
02-18 7471
Kubernetes中提供了良好的多租户认证管理机制,如RBAC、ServiceAccount还有各种Policy等。 ServiceAccount Service Account为Pod中的进程提供身份信息。 当用户访问集群(例如使用kubectl命令)时,apiserver 会将用户认证为一个特定的 User Account(目前通常是admin,除...
如何获取k8s拓扑_k8s从安装到精通--Service 拓扑介绍
05-23
- 使用 `kubectl describe svc <service-name>` 命令查看Service的详细信息,包括Endpoints和Selector等信息。 - 在Kubernetes Dashboard中可以查看Service的拓扑信息,包括Service和对应的Pod的关系图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值