这是本系列的最后一篇文章,前面我们了解了访问控制中的基本概念以及身份认证和授权的具体操作,本文我们将进一步了解访问控制中的service account。
Kubernetes中有用户和service account的概念,可用于访问资源。用户与密钥和证书相关联用于验证API请求,使用其中一个配置方案对在集群外部发起的任何请求进行身份验证。最常见的方案是通过X.509证书进行身份认证请求。有关创建证书和将证书与用户关联的信息,请参阅Kubernetes身份验证教程。
请记住,Kubernetes不维护数据库或用户和密码的配置文件。相反,它希望在集群之外进行管理。通过身份验证模块的概念,Kubernetes可以将身份验证委派给第三方,如OpenID或Active Directory。
尽管X.509证书可用于身份验证的外部请求,但service account可以用于验证集群中运行的进程。此外,service account与进行API server内部调用的pod相关联。
每个Kubernetes安装都有一个默认的service account,它与每个正在运行的pod相关联。类似地,为了使pod能够调用内部API Server端点,有一个名为Kubernetes的ClusterIP服务,它与默认的service account一起使内部进程可以调用API端点。
kubectl get serviceAccounts
NAME SECRETS AGE
default 1 122m
kubectl get svc
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.96.0.1 443/TCP 123m
请注意&#