【Kubernetes】服务账号 Service Account

原创 已于 2024-09-15 18:30:52 修改 · 1.7k 阅读 · 34 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生 #服务账号 #Service Account #用户账号 #k8s

于 2024-09-15 18:27:41 首次发布

K8s 的安全认证》系列,共包含以下文章:

😊 如果您觉得这篇文章有用 ✔️ 的话,请给博主一个一键三连 🚀🚀🚀 吧 (点赞 🧡、关注 💛、收藏 💚)!!!您的支持 💖💖💖 将激励 🔥 博主输出更多优质内容!!!

服务账号 Service Account

服务账号Service Account)是为了方便 Pod 中的进程调用 Kubernetes API 资源或访问其他外部服务而设计的。

1.服务账号与用户账号

服务账号Service Account)和 用户账号User Account)有着以下的不同:

  • 服务账号 是为 Pod 而设计的,目的是让 Pod 中的进程能够访问 Kubernetes APl 的资源;用户账号 是为用户而设计的,目的是让用户能够访问 Kubernetes 集群。
  • 服务账号 仅作用在当前的命名空间中;用户账号 是全局性的,可以跨越不同的命名空间。
  • 服务账号 的创建应遵循权限最小化的原则,Kubernetes 允许为实现某个具体任务而创建服务账号;而创建 用户账号 通常需要使用外部的数据库,且可能需要组合不同的权限。
  • 服务账号 属于轻量级配置,只作用在当前命名空间中,因此,在一个复杂系统中可能包含各种服务账号的定义;用户账号 的创建规则比较复杂,且可能涉及复杂的业务流程。由于服务账号和用户账号的使用对象不同,因此对二者的监控也不同。

2.【实战】创建和使用服务账号

下面来演示如何创建和使用服务账号。

2.1 创建命名空间

创建一个新的命名空间 sa-demo

kubectl create namespace sa-demo

查看新命名空间中的 Service Account。

kubectl get sa -n sa-demo

输出的信息如下:

在这里插入图片描述

🚀 对于每一个命名空间会自动创建一个默认的 Service Account。

2.2 创建 Pod

编辑 pod-sa-demo1.yaml 文件在新创建的命名空间中新建一个 Pod。

kind: Pod
apiVersion: v1
metadata:
  name: pod-sa-demo1
  namespace: sa-demo
spec:
  containers:
  - name: nginx
    image: nginx
    imagePullPolicy: IfNotPresent
    ports:
     - containerPort: 80
       name: http

创建 Pod,并查看 Pod 的信息。

kubectl apply -f pod-sa-demo1.yaml
kubectl get pod pod-sa-demo1 -o yaml -n sa-demo

输出的信息如下:

在这里插入图片描述

🚀 可以看出,对于每一个新创建的 Pod 来说,如果没有指定 Service Account,则它会自动挂载默认的 Service Acount,即其值为 default

2.3 创建 Service Account

sa-demo 命名空间中创建一个名称为 mysa 的 Service Account,并查看当前命名空间中存在的 Service Account。

kubectl create serviceaccount mysa -n sa-demo
kubectl get sa -n sa-demo

输出的信息如下:

在这里插入图片描述

查看新创建的 Service Account。

kubectl get serviceaccount mysa -n sa-demo -o yaml

在这里插入图片描述

🚀 在 Service Account 创建成功后,可以使用 RoleBinding 将 Service Account 与 Role 进行绑定,使用 ClusterRoleBinding 将 ServiceAccount 与 ClusterRole 进行绑定。

在这里插入图片描述

2.4 使用 RoleBinding 将 Service Account 与 Role 进行绑定

编辑 sa-demo-role.yaml 文件创建 Role。

kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  #限定可访问的命名空间为sa-demo
  namespace: sa-demo
  #角色名称
  name: sa-demo-role
rules:
  #空字符串表示使用core API group
- apiGroups: [""]
  resources: ["namespaces","pods","pods/log"]
  verbs: ["get", "watch", "list", "create", "update", "patch", "delete"]
- apiGroups: [ "apps"]
  resources: ["deployments", "daemonsets"]
  verbs: ["get", "list", "watch"]

编辑 sa-demo-rolebinding.yaml 文件创建 RoleBinding。

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: sa-demo
  name: sa-demo-rolebinding
subjects:
- kind: ServiceAccount
  namespace: sa-demo
  # Service Account的名称
  name: mysa
roleRef:
  kind: Role
  # 角色名称
  name: sa-demo-role
  apiGroup: rbac.authorization.k8s.io

🚀 这里将命名空间 sa-demo 中名为 mysa 的 Service Account 绑定到 sa-demo-role 角色上了。

创建 Role 和 RoleBinding。

kubectl apply -f sa-demo-role.yaml
kubectl apply -f sa-demo-rolebinding.yaml

查看 sa-demo 命名空间中的 Role 和 RoleBinding。

kubectl get role,rolebinding -n sa-demo -o wide

输出的信息如下:

在这里插入图片描述

🚀 从输出信息可以看出,命名空间中的 mysa 服务账号通过 sa-demo-rolebinding 绑定到 sa-demo-role 了。

2.5 使用 ClusterRoleBinding 将 ServiceAccount 与 ClusterRole 进行绑定

编辑 sa-demo-clusterrole.yaml 文件创建 ClusterRole。

kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  # 由于ClusterRole针对的是集群范围对象,因此不需要定义namespace字段
  name: sa-demo-clusterrole
rules:
  # 空字符串""表明使用core API group
- apiGroups: ["rbac.authorization.k8s.io",""]
  resources: ["pods","pods/log"]
  verbs: ["get", "watch", "list"]
- apiGroups: ["apps"]
  resources: ["namespaces"]
  verbs: ["get", "list", "watch"]

编辑 sa-demo-clusterrolebinding.yaml 文件创建 ClusterRoleBinding。

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: sa-demo-clusterrolebinding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: sa-demo-clusterrole
subjects:
- apiGroup: ""
  kind: ServiceAccount
  namespace: sa-demo
  name: mysa

创建 ClusterRole 和 ClusterRoleBinding。

kubectl apply -f sa-demo-clusterrole.yaml
kubectl apply -f sa-demo-clusterrolebinding.yaml

🚀 这里将命名空间 sa-demo 中名为 mysa 的 Servicc Account 绑定到 sa-demo-clusterrole 角色上了。

查看 ClusterRole 的信息。

kubectl get clusterrole

输出的信息如下:

在这里插入图片描述

查看 ClusterRoleBinding 的信息。

kubectl describe clusterrolebinding sa-demo-clusterrolebinding

在这里插入图片描述

另外一种查询方法:

kubectl get clusterrolebinding -o \
custom-columns=NAME:.metadata.name,ROLE:.roleRef.name,SERVICEACCOUNT:.subjects[0].name | grep sa-demo

在这里插入图片描述

3.服务账号的工作机制

Kubernetes 的 APl Service 默认开启了 Service Account 的准入控制功能。因此,在创建 Service Account 后,服务账号将按照以下方式运行。

🚀 如果 API Server 没有启用 Service Account 的准入控制功能,则可以在启动 API Server 时加入以下参数:--admission_control-ServiceAccount

  • 1️⃣ 在 Pod 创建时,通过 spec.serviceAccount 字段挂载指定的 Service Account。如果没有指定该字段,则挂载命名空间中的默认 Service Account,即 default 的 Service Account。
  • 2️⃣ API Server 验证挂载的 Service Account 是否存在。如果存在,则创建 Pod;否则拒绝创建 Pod。
  • 3️⃣ 如果在 Pod 中没有指定 ImagePullSecrets,则把 Service Account 中的 ImagePullSecrets 字段加载到 Pod 中。

🚀 在拉取私有镜像仓库中的镜像时,往往需要先进行用户认证。ImagePullSecrets 字段用于指定拉取镜像时用户的 Secret 信息。

  • 4️⃣ 在 Pod 创建成功并启动容器后,会将 Service Account 的 Token 挂载到 /var/run/secrets/kubernetes.io/serviceaccount/ 目录下。

🚀 可以通过 kubectl describe pod 命令查看到挂载的信息。

kubernetes ServiceAccount服务账号
叱咤少帅的博客
06-05 316
kubernetes ServiceAccount服务账号
Kubernetes】基于serviceaccount来实现k8s连接私有仓库
cnskylee的博客
08-26 476
当我们需要在K8s集群中部署pod的时候,我们通常会选择从外网将需要镜像拉取到本地,然后上传到本地私有仓库,最后修改deploy.yaml文件中的image地址为所需镜像的本地私有仓库地址。涉及的步骤如下: ======== 以安装ingress-nginx为例 ========== ---创建namespace: ingress-nginx $ kubectl create namespace ingress-nginx ---创建连接私有仓库的registrykey: ingres...
KubernetesService Account
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-14 775
Kubernetes 中,Service Account服务账户)是一种特殊的 Kubernetes 账户,主要用于在 Pod 内运行的应用程序,以便这些应用程序能够与 Kubernetes API 进行交互,比如读取或修改 Kubernetes 对象。每个命名空间下默认都会有一个名为default的服务账户,也可以创建额外的服务账户来满足不同权限需求。
kubernetesService Account
weixin_33919941的博客
05-31 384
kubernetesService Account Service account作用Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务Service account使用场景运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务Service Account它并不是给kubernetes集群...
serviceaccount与role详解
最新发布
2201_75552298的博客
10-14 468
Kubernetes RBAC核心组件包括ServiceAccount、Role和ClusterRole。ServiceAccount为Pod提供身份标识,默认权限有限;Role定义命名空间内资源权限;ClusterRole管理集群级权限。三者通过RoleBinding/ClusterRoleBinding关联:RoleBinding绑定ServiceAccount与Role实现命名空间权限,ClusterRoleBinding绑定ServiceAccount与ClusterRole实现集群级权限。这种设计
kubernetesservice account
weixin_30698297的博客
07-29 1584
介绍 1.service account 也是一种账号, 但它不是给kubernetes集群的用户(系统管理员, 运维人员)用的, 而是给运行在pod里的进程用的, 它为pod里的进程提供了必须的身份证明 2.kubernetes在创建一个namespace, 会为每个namespace下都一个名为default的默认serviceaccount对象, 在这个service accoun...
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 2233
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
KubernetesServiceAccount+Secret(超详细汇总)
热门推荐
BigData_Mining的博客
03-13 1万+
第一章、前言 每一个用户对API资源进行操作都需要通经过以下三个步骤: 第一步:对客户端访问进行认证操作,确认是否具有访问k8s权限 token(共享秘钥) SSL(双向SSL认证) ....通过任何一个认证即表示认证通过,进入下一步 第二步:授权检查,确认是否对资源具有相关的权限 ABAC(基于属性的访问控制) RBAC(基于角色的访问控制) NODE(基...
kubernetes10——访问控制(serviceaccount、useraccount、RBAC)
qwejiaji的博客
08-05 1093
目录一、访问控制二、ServiceAccount三、UserAccount四、RBAC基于角色访问控制授权五、服务账户的自动化 一、访问控制 流程:认证、授权和准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Authorization(授权) 必须经过认证阶段,才到授权请求,根据所有授权策略匹配请求资源属性
详解 ServiceAccount -- k8s服务账号是如何工作的?
千里之行
12-17 9341
KubernetesService Account 是如何工作的
Kubernetes-API访问控制、serviceaccount、useraccount、RBAC、服务账户自动化
qq_46490950的博客
08-03 765
目录一.访问控制原理二.Authentication(认证)1.创建serviceaccount2. 创建UserAccount三.Authorization(授权)1.role示例2.ClusterRole示例四.服务账户的自动化 一.访问控制原理 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client Certs和Service Accout Tokens两种认证方式。 Kubernete
kubernetes ServiceAccount 配置
泽佑兄弟 ZYbros
06-16 1971
开始配置Kubernetes集群的时候为了少出问题,都是在apiserver配置中去掉ServiceAccount采用非安全连接的方式,但在后面配置FEK日志的过程中,很多时候绕不开这个安全机制,但因为开始在centos上安装是通过yum的方式,所以那些ca.crt,server.crt,kubecfg.key等文件都是没有的。自己手工去建了好几次最后都有一些问题。 本文是基于git-hub中m
Kubernetes中的service account
韦远科的专栏
02-15 7366
service account,顾名思义,主要是给service使用的一个账号。 具体一点,就是为了让Pod中的进程、服务能访问k8s集群而提出的一个概念,基于service account,pod中的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。 kubernetes中,每个命名空间默认会有一个名为“default”的serv...
KubernetesServiceAccount
weixin_30670965的博客
11-05 372
ServiceAccount 是什么 Service Account为Pod中的进程和外部用户提供身份信息。所有的kubernetes集群中账户分为两类,Kubernetes管理的serviceaccount(服务账户)和useraccount(用户账户)。 大家都知道api server的集群的入口,对于kunbernetes的api server 是肯定不能随便访问。所以我们必须需要一些认...
KubernetesServiceaccount
屈帅波的技术博客
11-27 700
1.创建serviceaccount K8s集群账号分为用户账号useraccountServiceaccount(是指pod想访问api-server要用到的用户账号密码等) apiVersion: v1 kind: ServiceAccount metadata: name: admin namespace: default 2.自定义pod连接api的认证用户 apiVersio...
Kubernetes ServiceAccount
yymagicer的博客
10-18 1284
KubernetesServiceAccount 是一个重要的身份验证和访问控制工具,通过合理配置和管理 ServiceAccount,管理员可以实现对应用的细粒度权限控制,提高系统的安全性和可靠性。ServiceAccount 在多租户环境和安全要求严格的场景中尤为重要,是保护 Kubernetes 集群安全的重要组成部分。
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
Kubernetes SerivceAccount
叶康铭的博客
02-27 1164
什么是Service Account Service Account是为了解决Kubernetes集群内部资源认证问题而诞生,例如Pod的进程想调用Kubernetes API或者其他外部服务Service Account基本操作 通过kubectl创建ServiceAccount kubectl create sa nginx-sa 可以见到创建了ServiceAccount之后也自动创建...
kubernetesService Account和secret
weixin_30954607的博客
06-15 269
系列目录 Service Account Service Account概念的引入是基于这样的使用场景:运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。 kubectl get sa --all-name...
使用io.fabric8:kubernetes-client:5.12.4获取podip报错Forbidden!Configured service account doesn't have access
08-23
<think>我们正在使用fabric8 Kubernetes客户端(5.12.4版本)来获取Pod IP,但遇到了“Forbidden! Configured service account doesn't have access”错误。这表明当前Pod使用的服务账号ServiceAccount)没有足够的权限来获取Pod信息。下面我们将一步步解决这个问题。 ### 1. **确认服务账号和权限** 首先,我们需要确认当前Pod使用的服务账号以及该账号是否具有获取Pod信息的权限。 - 默认情况下,Pod使用`default`服务账号,但可能没有足够的权限。 - 我们可以通过创建RBAC(Role-Based Access Control)规则来授予服务账号必要的权限。 ### 2. **创建RBAC规则** 我们需要为服务账号创建一个`Role`(或`ClusterRole`)和`RoleBinding`(或`ClusterRoleBinding`)来授予访问Pod的权限。 **示例YAML文件(rbac.yaml)**: ```yaml # 创建一个Role,允许获取Pod信息 apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: your-namespace # 替换为你的命名空间 name: pod-reader rules: - apiGroups: [""] resources: ["pods"] # 资源类型为pods verbs: ["get", "list", "watch"] # 授予的权限 --- # 将Role绑定到服务账号(例如default) apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: your-namespace subjects: - kind: ServiceAccount name: default # 服务账号名称,通常为default namespace: your-namespace roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 应用这个配置: ```bash kubectl apply -f rbac.yaml ``` > 注意:如果你需要跨命名空间访问Pod,则应该使用`ClusterRole`和`ClusterRoleBinding`[^4]。 ### 3. **在代码中使用fabric8客户端** 确保你的代码正确使用了服务账号的token。在Pod内部,fabric8客户端会自动使用挂载的token来访问Kubernetes API。 **Java代码示例(使用fabric8客户端)**: ```java import io.fabric8.kubernetes.api.model.Pod; import io.fabric8.kubernetes.api.model.PodList; import io.fabric8.kubernetes.client.DefaultKubernetesClient; import io.fabric8.kubernetes.client.KubernetesClient; public class PodIPFetcher { public static void main(String[] args) { try (KubernetesClient client = new DefaultKubernetesClient()) { // 获取指定命名空间中的所有Pod PodList podList = client.pods().inNamespace("your-namespace").list(); for (Pod pod : podList.getItems()) { System.out.println("Pod Name: " + pod.getMetadata().getName() + " IP: " + pod.getStatus().getPodIP()); } } } } ``` - 当在Pod中运行时,`DefaultKubernetesClient`会自动使用Pod内的服务账号token(通过`/var/run/secrets/kubernetes.io/serviceaccount`目录挂载)。 ### 4. **检查服务账号挂载** 确保你的Pod配置中已经挂载了服务账号的token。通常,这是默认行为,但可以通过以下方式检查: **Pod配置示例**: ```yaml apiVersion: v1 kind: Pod metadata: name: my-app spec: serviceAccountName: default # 使用default服务账号,也可以指定自定义账号 automountServiceAccountToken: true # 确保自动挂载token(默认为true) containers: - name: main image: my-java-app:latest ``` ### 5. **验证权限** 在应用RBAC规则后,我们可以验证服务账号是否具有所需权限: ```bash kubectl auth can-i get pods --as=system:serviceaccount:your-namespace:default ``` 如果返回`yes`,则表示权限已生效。 ### 6. **常见问题排查** - **权限未生效**:RBAC更改可能需要几秒钟才能生效,请稍等重试。 - **Token未挂载**:检查Pod的描述信息(`kubectl describe pod <your-pod>`),查看是否有关于服务账号挂载的错误。 - **跨命名空间访问**:如果你需要访问其他命名空间的Pod,请使用`ClusterRole`和`ClusterRoleBinding`。 - **Kubernetes版本**:确保你的Kubernetes集群版本支持RBAC(1.6+版本默认启用)。 ### 7. **使用fabric8客户端的注意事项** - 确保你的项目依赖了正确版本的fabric8客户端(本例中为5.12.4): ```xml <dependency> <groupId>io.fabric8</groupId> <artifactId>kubernetes-client</artifactId> <version>5.12.4</version> </dependency> ``` - 如果使用Spring Boot等框架,注意依赖冲突问题。 通过以上步骤,你应该能够解决使用fabric8 Kubernetes客户端获取Pod IP时的权限问题。如果问题仍然存在,请检查集群的RBAC设置和日志以获取更多信息。 §§相关问题§§ 1. 如何在Kubernetes中创建自定义服务账号? 2. fabric8 Kubernetes客户端与官方客户端的主要区别是什么? 3. 如何调试Kubernetes API的权限问题?</think>### 解决 Fabric8 Kubernetes 客户端获取 Pod IP 时的权限问题 当使用 Fabric8 Kubernetes 客户端(5.12.4 版本)获取 Pod IP 遇到 `Forbidden! Configured service account doesn't have access` 错误时,根本原因是当前服务账号缺少必要的 RBAC 权限。以下是完整的解决方案: --- ### 解决方案步骤 #### 1. **创建 RBAC 权限规则** 在目标命名空间创建 Role 和 RoleBinding(示例使用 `your-namespace`): ```yaml # pod-reader-role.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: your-namespace name: pod-reader rules: - apiGroups: [""] resources: ["pods"] # 授予访问 Pod 资源的权限 verbs: ["get", "list", "watch"] # 必需的操作权限 --- apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: your-namespace subjects: - kind: ServiceAccount name: default # 绑定到默认服务账号 namespace: your-namespace roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` 应用配置: ```bash kubectl apply -f pod-reader-role.yaml ``` > 注意:如果需跨命名空间访问,改用 `ClusterRole` 和 `ClusterRoleBinding`[^4] #### 2. **验证服务账号权限** ```bash # 检查 default 账号是否具有 Pod 读取权限 kubectl auth can-i get pods \ --as=system:serviceaccount:your-namespace:default \ -n your-namespace ``` 返回 `yes` 表示权限生效 #### 3. **Java 代码示例(Fabric8 5.12.4)** 确保使用正确的服务账号凭据: ```java import io.fabric8.kubernetes.api.model.Pod; import io.fabric8.kubernetes.api.model.PodList; import io.fabric8.kubernetes.client.DefaultKubernetesClient; import io.fabric8.kubernetes.client.KubernetesClient; public class PodIPFetcher { public static void main(String[] args) { try (KubernetesClient client = new DefaultKubernetesClient()) { // 获取指定命名空间的 Pod PodList podList = client.pods() .inNamespace("your-namespace") .list(); // 提取 Pod IP for (Pod pod : podList.getItems()) { String ip = pod.getStatus().getPodIP(); System.out.println( "Pod: " + pod.getMetadata().getName() + " | IP: " + ip ); } } catch (Exception e) { System.err.println("Error: " + e.getMessage()); } } } ``` #### 4. **关键配置检查** 在部署配置中确保: ```yaml spec: serviceAccountName: default # 显式指定服务账号 automountServiceAccountToken: true # 必须启用 token 挂载 ``` #### 5. **依赖确认(Maven)** ```xml <dependency> <groupId>io.fabric8</groupId> <artifactId>kubernetes-client</artifactId> <version>5.12.4</version> <!-- 指定正确版本 --> </dependency> ``` --- ### 常见问题排查 1. **权限延迟**:RBAC 变更需 1-2 分钟生效 2. **Token 挂载失败**: ```bash kubectl describe pod your-pod-name | grep Mounts ``` 检查是否包含 `serviceaccount token` 3. **跨命名空间问题**: - 使用 `ClusterRole` 替代 `Role` - 在 `ClusterRoleBinding` 中指定命名空间 4. **客户端认证问题**: ```java // 调试模式查看认证信息 System.getenv("KUBERNETES_SERVICE_HOST"); System.getenv("KUBERNETES_SERVICE_PORT"); ``` --- ### Fabric8 客户端最佳实践 1. **资源清理**:使用 `try-with-resources` 确保客户端关闭 2. **错误处理**:捕获 `KubernetesClientException` 处理特定错误 3. **版本兼容**:定期检查[客户端兼容性矩阵](https://github.com/fabric8io/kubernetes-client#compatibility-matrix) > 提示:生产环境建议创建专用服务账号(非 default)并分配最小权限
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大数据与AI实验室

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值