admin管理员组文章数量:1647985
ServiceAccount
单个pod可以通过/var/run/secrets/kubernetes.io/serviceaccount/token中的内容进行身份认证。
使用命令进入pod中
kubectl exec -it two-pod -c debian bash
查看目录/var/run/secrets/kubernetes.io/serviceaccount/token下的内容,一般pod就会使用该token去与服务器认证。
ca.crt namespace token
serviceaccount在k8s中也是一种资源,可以自己创立的。在pod中可以将该pod与某个特定serviceaccount相关联。
Name: foo
Namespcae: default
Lables: <none>
Image pull secrets: <none> //该Image会被自动添加到使用了该serviceaccount的pod
Mountable secrets: foo-token-qzq7j
Tokens: foo-token-qzq7j //认证所使用的token
ServiceAccount的使用
查看该pod/var/run/secrets/kubernetes.io/serviceaccount/目录下的token文件,其内容与foo所使用的token一致。
apiVersion: v1
kind: Pod
metadata:
name: downward
labels:
foo: downward
spec:
serviceAccountName: foo
containers:
- image: debian
name: main
command:["bash"]
volumeMounts:
- name : downward
mountPath: /etc/downward
volumes:
- name: downward
downwardAPI:
items:
- path: "podName"
fieldRef:
fieldPath:metadata.name
Role
该yaml文件定义了一个角色资源,该角色拥有两项权力,一是get,一是list。同时该角色只有权使用foo space下的seevices。
apiVersion: v1
kind: Role
metadata:
name: service-reader
namespace: foo
rules:
- apiGroups: [""]
verbs: ["get","list"]
resources: ["services"]
Rolebinding
apiVersion: v1
kind: RoleBinding
metadata:
name: fortune
namespace: foo
roleRef: //角色
apiGroup:
kind: role
name: service-reader
subjects: //serviceAccount
- kind: serviceAccount
name: default
namespace: foo
本文标签: RoleRolebindingServiceAccount
版权声明:本文标题:Role,Rolebinding与serviceAccount 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1729496320a1202949.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论