CKS学习笔记-ServiceAccount练习

最新推荐文章于 2024-04-17 15:49:45 发布
最新推荐文章于 2024-04-17 15:49:45 发布
阅读量215 收藏
点赞数
分类专栏: Kubernetes CKS 文章标签: CKS service account
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43394724/article/details/120700934
版权

本实验实现不给服务账号自动挂载 API 凭据并应用到Pod

Service Account

Kubernetes 区分用户账户和服务账户的概念主要基于以下原因:
• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。
• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。
• 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流程。 服务账户创建的目的是为了更轻量,允许集群用户为了具体的任务创建服务账户 ( 即权限最小化原则 )。
• 对人员和服务账户审计所考虑的因素可能不同。
• 针对复杂系统的配置可能包含系统组件相关的各种服务账户的定义。 因为服务账户可以定制化地创建,并且有 namespace 级别的名称,这种配置是很轻量的。

对 pod 的改动通过一个被称为 Admission Controller 的插件来实现。它是 apiserver 的一部分。 当 pod 被创建或更新时,它会同步地修改 pod。 当该插件处于激活状态 ( 在大多数发行版中都是默认的 ),当 pod 被创建或更新时它会进行以下动作:
1. 如果该 pod 没有 ServiceAccount 设置,将其 ServiceAccount 设为 default。
2. 保证 pod 所关联的 ServiceAccount 存在,否则拒绝该 pod。
3. 如果 pod 不包含 ImagePullSecrets 设置,那么 将 ServiceAccount 中的 ImagePullSecrets 信息添加到 pod 中。
4. 将一个包含用于 API 访问的 token 的 volume

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Etaon
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
CKS学习笔记-NetworkPolicy练习
weixin_43394724的博客
10-18 242
网络策略 官网解释https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/: 如果希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” 通信。 Pod 可以通信的 Pod 是通过如下
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 1931
梳理出ServiceAccount服务账号一条线
kubernetes为何需要默认的serviceaccount
MyySophia的博客
04-26 834
在 Kubernetes 中,ServiceAccount 是一种用于身份验证和授权的对象。它为 Pod 提供了一种身份,以便它们可以与 Kubernetes API 交互,并且可以通过 Role 和 RoleBinding 为它们分配特定的权限。–update 2023年4月28日11:08:44 如果是一个普通的业务pod就不需要访问kube-apiserver,也没有必要额外创建对应的sa. 没有创建都会使用该ns下默认的sa.
k8s学习-CKS真题-Pod指定ServiceAccount_cks 考题,网络安全面试自我介绍
最新发布
2301_79054215的博客
04-17 814
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。这块实际操作的时候yaml敲成了yml,影响不大,就没有重新弄了。
Kubernetes中的service account
韦远科的专栏
02-15 7142
service account,顾名思义,主要是给service使用的一个账号。 具体一点,就是为了让Pod中的进程、服务能访问k8s集群而提出的一个概念,基于service account,pod中的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。 kubernetes中,每个命名空间默认会有一个名为“default”的serv...
20 名词解释 Service Account
邓乐来Jacob的博客
06-29 2636
Service AccountService account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计;User account是跨namespace的,而service account则是仅局限它所...
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
CKS - Practise - ImageWebHook.docx
04-29
CKS - Practise ImageWebHook Very important topic for CKS exam
CKS - Practise - NetPol.docx
04-29
CKS - Practise - NetPol
CKS - Practise - RBAC adn Kubesec.docx
04-29
CKS(Certified Kubernetes Security Specialist)练习涉及到对RBAC和Kubesec工具的使用,来增强Pod的安全配置。 首先,`kubesec`工具是用来扫描Pod定义模板,以检查其是否符合Kubernetes的安全最佳实践。在例子中...
CKS - Practise - PSP and Audit.docx
04-29
CKS - Practise PSP and Audit
K8S容器技能认证 -CKA&CKS认证从零到一
m0_57042151的博客
12-16 4250
CKA (Certifified Kubernetes Administrator),旨在确保 CKA 认证人员具有履行 Kubernetes 管理员职责的技能、知识和能力。通过认证的Kubernetes管理员具备了包括基础安装和配置、管理产品级别的Kubernetes 集群方面的能力。它是对Kubernetes操作人员对Kubernetes核心应用能力的一种检测,也是企业较看重的技术能力之一。
k8s学习-CKS真题-Runtime设置gVisor
关注网络安全、云原生安全
04-08 1767
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd。
K8S ServiceAccount
summer_fish的专栏
08-07 1926
一、ServiceAccount通常被用于授权Pod与集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccount,Kubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
k8s学习-CKS真题-Pod指定ServiceAccount
关注网络安全、云原生安全
02-04 1106
2. 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod,使用上面创建的ServiceAccount。1.在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此。3. 最后,清理 namespace qa 中任何未使用的ServiceAccount。这块实际操作的时候yaml敲成了yml,影响不大,就没有重新弄了。ServiceAccount 不自动挂载 API 凭据。在创建sa的yaml中添加。
ServiceAccount深度解析
qq_61039408的博客
08-07 919
这里在default名称空间创建了一个serviceaccount为admin,可以看到已经自动生成了一个Tokens:admin-token-j7n8j,下面展示如何使用自定义的serviceaccount在K8S集群当中,每一个用户对资源的访问都是需要通过apiserver进行通信认证才能进行访问的,那么在此机制当中,对资源的访问可以是token,也可以是通过配置文件的方式进行保存和使用认证信息,kubectl命令行工具使用kubeconfig文件来查找选择群集并与群集的APIserver进行通信。
CKS 试题训练【1】
爱死亡机器人
04-11 2800
文章目录1. 考点:Use Role Based Access Controls to minimize exposure试题 1:RBAC授权问题第1步:检查当前 RBAC rules第2步:创建其他RBAC rules2. 考点:Setup appropriate OS level security domains e.g. using PSP, OPA, security contexts试题1:使用OPA策略提高安全性3. 考点:Detect threats within physical infr
K8s CKS认证学习全套笔记
tushanpeipei的博客
12-17 2132
CKS学习笔记(K8S 安全)
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 7543
Kubernetes 的 Service Account 是如何工作的
2021年CKS 最新大纲.docx
01-31
问题Q2提到了CKS实践考试的第二部分,可能是一个在线实验室练习,链接指向了学习平台上的一个课程,这个课程可能是为了帮助考生准备CKS认证考试而设计的。这部分没有提供具体的问题或解答,但可以推断,它包含了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值