亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

公告:魔扣目錄網為廣大站長提供免費收錄網站服務,提交前請做好本站友鏈:【 網站目錄:http://www.430618.com 】, 免友鏈快審服務(50元/站),

點擊這里在線咨詢客服
新站提交
  • 網站:51998
  • 待審:31
  • 小程序:12
  • 文章:1030137
  • 會員:747

kubernetes需要默認的serviceaccount的原因解析

發布時間:2024-03-09 00:04:22 作者:網友整理

目錄
  • 什么是k8s的serviceAccount?
  • 為什么每一個ns下都有默認的sa?
    • default sa yaml
  • 默認的sa下都會掛一個secret,這個secret是從哪里來的?
    • 一道關于RBAC的CKA考題
      • 1、創建一個新的 ServiceAccount
      • 2、創建一個新的 Role
      • 3、創建一個新的 RoleBinding
      • 4、在 Pod 中使用 ServiceAccount
    • role和rolebinding的核心
      • 練習一
        • 練習二

          什么是k8s的serviceAccount?

          在 Kubernetes 中,ServiceAccount 是一種用于身份驗證和授權的對象。它為 Pod 提供了一種身份,以便它們可以與 Kubernetes API 交互,并且可以通過 Role 和 RoleBinding 為它們分配特定的權限。

          ServiceAccount 是 Kubernetes 中的一種重要概念,它的實際使用場景包括:

          • 訪問 Kubernetes API:ServiceAccount 為 Pod 提供了訪問 Kubernetes API 的憑據,使得它們可以查詢和修改 Kubernetes 中的資源。例如,一個 Pod 可以使用 ServiceAccount 訪問 Kubernetes API 獲取其他 Pod 的信息,或者創建、更新、刪除其他資源。
          • 認證和授權:ServiceAccount 為 Pod 提供了一種身份,使得 Kubernetes 可以對其進行認證和授權。例如,Kubernetes 可以使用 ServiceAccount 來驗證 Pod 是否有權限訪問某個資源,并根據 Role 和 RoleBinding 為其分配特定的權限。
          • 安全性:ServiceAccount 可以幫助提高 Kubernetes 集群的安全性。通過為每個 Pod 分配一個獨立的 ServiceAccount,并為其分配最小特權的權限,可以降低潛在的安全風險。
          • 多租戶:ServiceAccount 可以幫助實現 Kubernetes 中的多租戶。通過為每個 Namespace 創建一個獨立的 ServiceAccount,并為其分配特定的權限,可以實現不同 Namespace 之間的隔離和安全性。

          認證和授權:ServiceAccount 為 Pod 提供了一種身份,使得 Kubernetes 可以對其進行認證和授權。例如,Kubernetes 可以使用 ServiceAccount 來驗證 Pod 是否有權限訪問某個資源,并根據 Role 和 RoleBinding 為其分配特定的權限。

          安全性:ServiceAccount 可以幫助提高 Kubernetes 集群的安全性。通過為每個 Pod 分配一個獨立的 ServiceAccount,并為其分配最小特權的權限,可以降低潛在的安全風險。

          多租戶:ServiceAccount 可以幫助實現 Kubernetes 中的多租戶。通過為每個 Namespace 創建一個獨立的 ServiceAccount,并為其分配特定的權限,可以實現不同 Namespace 之間的隔離和安全性。

          為什么每一個ns下都有默認的sa?

          在 Kubernetes 中,每個 namespace 下都有一個默認的 ServiceAccount,原因如下:

          簡化配置:默認的 ServiceAccount 使得用戶無需為每個 Pod 創建一個新的 ServiceAccount,從而簡化了配置。如果 Pod 沒有指定 ServiceAccount,它將自動關聯到默認的 ServiceAccount。

          容器運行時身份:ServiceAccount 提供了一種將身份信息(如 API 訪問憑據)與 Pod 關聯的方法。默認的 ServiceAccount 為 Pod 提供了基本的身份信息,以便它們可以與 Kubernetes API 交互。

          安全性:默認的 ServiceAccount 通常具有較少的權限,這有助于遵循最小特權原則。這意味著,如果 Pod 不需要訪問 Kubernetes API 的特定資源,它可以使用默認的 ServiceAccount,從而降低潛在的安全風險。

          易于管理:默認的 ServiceAccount 使得集群管理員可以更輕松地管理和控制對 Kubernetes API 的訪問。例如,管理員可以通過修改默認 ServiceAccount 的權限來限制或擴展某個 namespace 下所有 Pod 的訪問權限。

          總之,默認的 ServiceAccount 是 Kubernetes 中的一種設計,旨在簡化配置、提供基本的身份信息、增強安全性并便于管理。然而,在實際應用中,根據需要創建特定的 ServiceAccount 并為其分配適當的權限是一種更好的做法。

          default sa yaml

          k get secret default-token-lnzs9 -oyaml
apiVersion: v1
data:
  ca.crt: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUR2akNDQXFhZ0F3SUJBZ0lVVFZZeWZ0VDFBdnQ1ZHlORmM4WUN...
  HU4NkZ0bTNyRkNaNUY3N1FmTVpCNU9hYXE2TkRDRwp3ems9Ci0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K
  namespace: ZGVmYXVsdA==
  token: ZXlKaGJHY2lPaUpTVXpJMU5pSXNJbXRwWkNJNkltcEdjRkkwWlRSRU55MW1NeTF4YWt0U1pYQm9Sems0U1dJd2RHMTV
。。。
  xQUJsdVlnSGJva3ZB
kind: Secret
metadata:
  annotations:
    kubernetes.io/service-account.name: default
    kubernetes.io/service-account.uid: b90818be-0587-4a7a-8abb-c0b214cdaba0
  creationTimestamp: "2022-06-26T07:04:38Z"
  name: default-token-lnzs9
  namespace: default
  resourceVersion: "11436"
  uid: 37c38aaa-bd9d-4beb-abf9-cdc94bcc697a
type: kubernetes.io/service-account-token

          默認的sa下都會掛一個secret,這個secret是從哪里來的?

          在 Kubernetes 中創建一個新的 Namespace 時,系統會自動為該 Namespace 下的默認 ServiceAccount 創建一個關聯的 Secret。這個 Secret 是用于存儲訪問 Kubernetes API 的憑據的,通常包含一個 token 和一個 CA 證書。這個 Secret 的來源如下:

          Kubernetes 控制平面的 Token Controller 自動創建并管理這個 Secret。當創建一個新的 ServiceAccount 時,Token Controller 會生成一個新的 token,并將其存儲在一個新的 Secret 中。

          該 Secret 會被自動關聯到對應的 ServiceAccount。Secret 的類型為 kubernetes.io/service-account-token,并且在 Secret 的 annotations 字段中包含了關聯的 ServiceAccount 信息。

          當創建一個使用該 ServiceAccount 的 Pod 時,Kubernetes 會自動將這個 Secret 掛載到 Pod 的容器中。默認情況下,Secret 會被掛載到 /var/run/secrets/kubernetes.io/serviceaccount 目錄下。容器內的應用程序可以使用這個 token 和 CA 證書與 Kubernetes API 交互。

          要查看默認 ServiceAccount 關聯的 Secret,可以使用以下命令:

          kubectl get serviceaccounts default -o jsonpath='{.secrets[0``].name}' -n <namespace>

          將 替換為實際的 Namespace 名稱。然后,使用以下命令查看 Secret 的詳細信息:

          kubectl get secret <secret_name> -o yaml -n <namespace>

          將 <secret_name> 替換為上一步獲取到的 Secret 名稱,將 替換為實際的 Namespace 名稱。

          一道關于RBAC的CKA考題

          假設我們有一個運行在 Kubernetes 中的 Web 應用程序,它需要訪問 Kubernetes API 來獲取其他 Pod 的信息。

          為了實現這個功能,我們可以創建一個 ServiceAccount,并為其分配訪問 Kubernetes API 的權限。具體步驟如下:

          1、創建一個新的 ServiceAccount

          kubectl create serviceaccount myapp-sa

          2、創建一個新的 Role

          用于授予 ServiceAccount 訪問 Kubernetes API 的權限:

          apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: myapp-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"] # 注意只有get和list的權限,并不需要update的權限

          3、創建一個新的 RoleBinding

          將 ServiceAccount 和 Role 關聯起來:

          apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: myapp-rolebinding
subjects:
- kind: ServiceAccount
  name: myapp-sa
roleRef:
  kind: Role
  name: myapp-role
  apiGroup: rbac.authorization.k8s.io

          4、在 Pod 中使用 ServiceAccount

          apiVersion: v1
kind: Pod
metadata:
  name: myapp-pod
spec:
  serviceAccountName: myapp-sa
  containers:
  - name: myapp-container
    image: myapp-image

          在這個例子中,我們創建了一個名為 myapp-sa 的 ServiceAccount,并為其分配了訪問 Kubernetes API 的權限。然后,我們創建了一個名為 myapp-role 的 Role,并將其與 ServiceAccount 關聯起來。最后,我們在 Pod 中使用了這個 ServiceAccount。

          這樣,我們的 Web 應用程序就可以使用這個 ServiceAccount 訪問 Kubernetes API,獲取其他 Pod 的信息。同時,由于我們為 ServiceAccount 分配了最小特權的權限,可以降低潛在的安全風險。

          role和rolebinding的核心

          role是定義一組權限列表

          rolebinding有兩個obj:

          • roleRef : 綁定哪個role?
          • subjects: 給誰綁定的問題 可以是user、可以是sa也可以是group

          如果遇到不懂怎么寫就是explain。

          kubernetes需要默認的serviceaccount的原因解析

          練習一

          只能使用官網的情況下,完成下面和這個需求:

          Create a new ServiceAccount processor in Namespace project-hamster. Create a Role and RoleBinding, both named processor as well. These should allow the new SA to only create Secrets and ConfigMaps in that Namespace.

          提示; 可以使用kubectl 命令create role、create rolebinding

          練習二

          讓alice這個用戶可以創建sa:

          創建一個新的 Role,用于控制 ServiceAccount 的創建:

          apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: serviceaccount-creator
rules:
- apiGroups: [""]
  resources: ["serviceaccounts"]
  verbs: ["create"]

          創建一個新的 RoleBinding,將 Role 和用戶或組關聯起來:

          apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: serviceaccount-creator-binding
subjects:
- kind: User
  name: alice
roleRef:
  kind: Role
  name: serviceaccount-creator
  apiGroup: rbac.authorization.k8s.io

          在這個例子中,我們創建了一個名為 serviceaccount-creator 的 Role,用于控制 ServiceAccount 的創建。然后,我們創建了一個名為 serviceaccount-creator-binding 的 RoleBinding,將 Role 和用戶 alice 關聯起來。

          這樣,用戶 alice 就可以使用 kubectl create serviceaccount 命令創建新的 ServiceAccount。其他用戶或組如果沒有被授權,將無法創建新的 ServiceAccount。

          需要注意的是,RBAC 可以用于控制 ServiceAccount 的創建和使用,但不能直接控制 ServiceAccount 的訪問權限。要為 ServiceAccount 分配訪問權限,需要使用 Role 和 RoleBinding。

          分享到:
          標簽:Kubernetes 原因 服務器 解析 默認
          用戶無頭像

          網友整理

          注冊時間:

          網站:5 個   小程序:0 個  文章:12 篇

          • 51998

            網站

          • 12

            小程序

          • 1030137

            文章

          • 747

            會員

          趕快注冊賬號,推廣您的網站吧!
          最新入駐小程序

          數獨大挑戰2018-06-03

          數獨一種數學游戲,玩家需要根據9

          答題星2018-06-03

          您可以通過答題星輕松地創建試卷

          全階人生考試2018-06-03

          各種考試題,題庫,初中,高中,大學四六

          運動步數有氧達人2018-06-03

          記錄運動步數,積累氧氣值。還可偷

          每日養生app2018-06-03

          每日養生,天天健康

          體育訓練成績評定2018-06-03

          通用課目體育訓練成績評定