Service Account

k8s無(wú)法直接創(chuàng)建用戶(hù),只能通過(guò)簽發(fā)集群的證書(shū)機(jī)構(gòu)簽名的證書(shū)的形式創(chuàng)建用戶(hù),用戶(hù)使用證書(shū)證明自己的身份(證書(shū)中的CN可以理解為用戶(hù)名),來(lái)訪(fǎng)問(wèn)集群。RBAC再根據(jù)用戶(hù)權(quán)限來(lái)鑒權(quán)。

賬號(hào)分為用戶(hù)賬號(hào)和服務(wù)賬號(hào)。用戶(hù)賬號(hào)給個(gè)人使用,是全局唯一的;服務(wù)賬號(hào)是給運(yùn)行在Pod中的進(jìn)程使用,是命名空間級(jí)別的,1.22版本前服務(wù)賬號(hào)的憑證保存在Secret中。

SA作用

  • Pod與K8S api-server之間通信。
  • 與外部服務(wù)通信。
  • 免密拉取私有鏡像。
  • 外部服務(wù)與api-server通信。

使用方式

  1. 創(chuàng)建SA賬號(hào)。
  2. 給SA賬號(hào)綁定RBAC權(quán)限。
  3. 將SA添加到Pod Spec中。

控制器

SA控制器作用(SA controller)

  • 確保每個(gè)命名空間內(nèi)都有一個(gè)名為default的sa,Pod默認(rèn)都會(huì)掛載該sa。

令牌控制器作用(Token controller)

為SA綁定訪(fǎng)問(wèn)token,可以是臨時(shí)的也可以是永久的。

  • 監(jiān)控sa的刪除,并刪除對(duì)應(yīng)的secret。
  • 監(jiān)控sa secret的創(chuàng)建,向SA中添加secret。
  • 監(jiān)控sa secret的刪除,從SA中刪除secret。

SA準(zhǔn)入控制器作用(SA admission controller)

創(chuàng)建Pod時(shí)會(huì)修改Pod

  • 如果Pod沒(méi)有設(shè)置serviceAccountName,則為其設(shè)置為default。
  • 檢查Pod引用的SA存在,若不存在則Pod創(chuàng)建失敗。
  • 如果SA中的automountServiceAccountToke設(shè)置為false,且Pod的automountServiceAccountToke也為false,則為Pod添加一個(gè)額外volume,volume中包含api access token,并將volume掛載到Pod的每一個(gè)container中,掛載路徑為/var/run/secrets/kubernetes.io/serviceaccount。
  • 如果Pod沒(méi)有設(shè)置imagePullSecrets,則從其配置的SA中找到imagePullSecrets并添加到Pod中。

SA賬號(hào)的token

token有兩種獲取方式,一種是TokenRequest API自動(dòng)獲取臨時(shí)token,一種是給SA綁定secret。1.22版本之前,k8s使用的是secret,之后使用的是臨時(shí)token。

  • K8S會(huì)自動(dòng)給Pod的SA創(chuàng)建token,SA準(zhǔn)入控制器會(huì)將token作為projected volume到Pod中,kubelet會(huì)定期更新token。如果Pod設(shè)置automountServiceAccountToke為false則不會(huì)掛載token到Pod中。
    kubectl create token build-robot --duration xxx手動(dòng)創(chuàng)建token并指定有效期。

  • 手動(dòng)將secret作為SA的永久token。# k8s會(huì)在data中自動(dòng)補(bǔ)充token主鍵。

apiVersion: v1
kind: Secret
type: kubernetes.io/service-account-token
metadata:
  name: mysecretname
  annotations:
    kubernetes.io/service-account.name: myserviceaccount
data:
  extra: YMFyCg==
  • 給SA配置拉取鏡像的imagePullSecrets
apiVersion: v1
kind: ServiceAccount
metadata:
  name: myserviceaccount
  namespace: default
imagePullSecrets:
  - name: myregistrykey
secrets:
  - name: mysceretname
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容