CKS1.28【2】Pod 指定 ServiceAccount

最新推荐文章于 2024-05-17 15:42:42 发布
最新推荐文章于 2024-05-17 15:42:42 发布
阅读量365 收藏 11
点赞数 5
分类专栏: CKS kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46775222/article/details/136028006
版权

Context 您组织的安全策略包括:

⚫ ServiceAccount 不得自动挂载 API 凭据

⚫ ServiceAccount 名称必须以“-sa”结尾

清单文件 /cks/sa/pod1.yaml 中指定的 Pod 由于 ServiceAccount 指定错误而无法调度。

请完成以下项目:

Task

1. 在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此 ServiceAccount 不自动挂载 API 凭据。

2. 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod。

3. 最后,清理 namespace qa 中任何未使用的 ServiceAccount。

参考资料:

为 Pod 配置服务账号 | Kubernetes

答题:

#考试时执行kubectl config use-context KSCH00301切换集群
1、创建 ServiceAccount

vi qa-ns.yaml
根据官网修改如下内容
apiVersion: v1
kind: ServiceAccount
metadata:
  name: backend-sa #修改 name
  namespace: qa #注意添加 namespace
automountServiceAccountToken: false #修改为 false,表示不自动挂载 secret
kubectl apply -f qa-ns.yaml
kubectl get sa -n qa


2、创建 Pod 使用该 ServiceAccount

vi /cks/sa/pod1.yaml
修改如下内容
……
metadata:
 name: backend
 namespace: qa #注意命名空间是否对
spec:
 serviceAccountName: backend-sa # 没有则添加一行,有则修改这一行为刚才创建的 ServiceAccount(考试时,默认已有这一行,需要修改。)
 containers:
……

kubectl apply -f /cks/sa/pod1.yaml
kubectl get pod -n qa

3、删除没有使用的 ServiceAccount

#查看已经在用的 sa
kubectl get pod -n qa -o yaml | grep -i serviceAccountName
#删除不用的 sa
kubectl delete sa test01 -n qa

`Liar`
关注
  • 5
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS学习笔记--AppArmor
weixin_43394724的博客
12-14 1309
介绍 AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。 简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。 目前Ubuntu已自带了Apparmor。 AppArmor配置文
Kubernetes 安全专家(CKS)必过心得
wolaisongfendi的博客
08-29 2237
Kubernetes 认证安全专家 (CKS) 计划由云原生计算基金会 (CNCF) 与 Linux 基金会合作创建,旨在帮助开发 Kubernetes 生态系统。本分分享了CKS认证考试的通过新的,包括了注意事项以、备考方法、练习和一些真题分析。祝各位考试顺利通过!......
cks 考试指南
爱死亡机器人
09-01 1824
1.2 kubernetes 安装 master node: 2. ingress-nginx with TLS 2.2 create ingress resource caddy-ingress.yaml create TLS certificate key-pair create secret with TLS data 2.3 update ingress with TLS caddy-ingress.yaml 执行: 2.4 verify/test 3. network policy E
CKS真题分析-2023年度
李凯的博客
10-31 2787
CKS 2023CKS CKS真题解析
云原生|kubernetes|2022年底cks真题解析(11-16)
zsk_john的技术分享专用博客
01-17 2772
​ 前言: 接上一篇文章:云原生|kubernetes|2022年底cks真题解析(1-10)_晚风_END的博客-CSDN博客 2022年底的csk真题第二部分 11题到16题 ​
最全与最实用的kubectl 命令
爱死亡机器人
07-31 2051
官方资料: https://kubernetes.io/zh/docs/tasks/tools/install-kubectl/ kubectl get namespaces kubectl get ns kubectl get pods -n logging kubectl get pods -n logging -o wide kubectl get pods -A kubectl describe pods/zongxun-test-1 -n kubeclt exec -n -ti bash k
八、Kubernetes 网络和负载均衡
小薛博客助力人人成为架构师
07-11 2624
Kubernetes 网络解决四方面的问题:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vG284U51-1657518994168)(images/Kubernetes/1620208232664.png)]门面。所有的零散层上再抽取一个聚合层。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LEnpUE8y-1657518994169)(images/Kubernetes/1620106769755.png)][外链图片转存失败,源站可能有
cka2023练习目
Java
11-16 179
在不更改其现有容器的情况下, 需要将一个现有的 pod 集成到 kubernetes 的内置日志记录体系结构中(例如 kubectl logs)。请不要升级工作节点,etcd,container 管理器,CNI 插件,DNS 服务或任何其他插件。在 K8s 发布日期的大约 4 到 8 周内,CKA、CKS 和 CKAD 考试环境将与最新的 K8s 次要版本保持一致。的 node 设置为不可用, 并重新调度该 node 上所有运行的 pods。并使用搜索栏查找问题的答案,或从提供的类别中选择您的请求类型。
二进制安装多master节点的k8s集群
weixin_49888547的博客
05-23 2014
二进制安装多master节点的k8s集群 k8s集群角色 IP 主机名 安装的组件 控制节点 192.168.1.180 master1 apiserver,controller-manager,scheduler,etcd,docker,keepalived,nginx 控制节点 192.168.1.181 master2 apiserver,controller-manager,scheduler,etcd,docker,keepalived,nginx 控制节点 192.168
CKS 认证实战班视频课程2022
03-09
分享一套CKS视频教程,2022年1月结课的新课 课程大纲: 第1章 开班仪式 第2章 模块一:Kubernetes集群设置 第3章 模块二:Kubernetes 集群强化 第4章 模块三:Kubernetes 系统强化 第5章 模块四:最小化微服务漏洞 ...
2021年CKS 最新大纲.docx
01-31
2021年CKS 最新大纲
中科芯CKS32F103C资源包
01-12
从中科芯官网下载的资源包,包含了基本的例程,开发支持插件,使用keil进行开发 中科芯CKS32F103C8T6比性价比要比32高一点,性能相似,有刹车功能
CKS32F030K6T6.zip
05-08
CKS32F030K6T6核心板硬件资料、CKS32F030K6T6编程外设库、CKS32F030K6T6芯片资料、CKS32F030K6T6工程模板(Keil5)(库函数),STM32F030K6T6替代料
k8s相关常用语句
QQ563627436的博客
05-11 650
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
k8s、helm删除不掉资源问题处理
yztezhl的专栏
05-13 461
k8s、helm删除不掉资源问题处理
k8s-从应用访问pod元数据以及其他资源
weixin_43784341的博客
05-14 496
Kubernetes中,可以通过在应用内使用 Downward API 或者通过 Service Account 的方式来访问 Pod 的元数据以及其他资源。下面我将为你介绍这两种方法的详细代码实现。
安装k8s的负载均衡器MetalLB
最新发布
纵歌的博客
05-17 614
安装k8s的负载均衡器MetalLB(新旧版安装不同)
RCC_OPCCR1_UART2CKS_Pos
04-11
RCC_OPCCR1_UART2CKS_Pos是一个宏定义,用于指定UART2时钟源选择位在RCC_OPCCR1寄存器中的位置。具体来说,RCC_OPCCR1是RCC(Reset and Clock Control)寄存器的一个子寄存器,用于配置系统时钟的各个参数。而UART2CKS_Pos则是该子寄存器中用于选择UART2时钟源的位的位置。 相关问题: 1. 什么是RCC寄存器? 2. 为什么需要配置系统时钟的参数? 3. 还有哪些常用的时钟源选择位?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值