Kubernetes Handbook 项目:深入理解 Pod 的 Service Account 配置

于 2025-06-03 09:11:37 发布
阅读量383 收藏 10
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_00427/article/details/148394016

Kubernetes Handbook 项目:深入理解 Pod 的 Service Account 配置

kubernetes-handbook Kubernetes中文指南/云原生应用架构实战手册 - https://jimmysong.io/kubernetes-handbook kubernetes-handbook 项目地址: https://gitcode.com/gh_mirrors/ku/kubernetes-handbook

什么是 Service Account

在 Kubernetes 集群中,Service Account 为 Pod 中的进程提供身份认证信息。与普通用户账号不同,Service Account 是专门为运行在 Pod 中的进程设计的,用于控制这些进程如何与 Kubernetes API 服务器交互。

默认 Service Account 工作机制

当您创建一个 Pod 时,如果没有显式指定 Service Account,Kubernetes 会自动为 Pod 分配所在命名空间下的 default Service Account。这一行为可以通过检查 Pod 的 YAML 配置确认:

spec:
  serviceAccountName: default

默认情况下,Kubernetes 会自动将 Service Account 的凭证挂载到 Pod 的 /var/run/secrets/kubernetes.io/serviceaccount 目录下,包含以下文件:

  • ca.crt: 集群的 CA 证书
  • namespace: Pod 所在的命名空间
  • token: 用于认证的 JWT 令牌

高级配置选项

禁用自动挂载凭证

在 Kubernetes 1.6 及以上版本中,您可以选择禁用 Service Account 凭证的自动挂载:

  1. 在 Service Account 级别禁用:
apiVersion: v1
kind: ServiceAccount
metadata:
  name: build-robot
automountServiceAccountToken: false
  1. 在 Pod 级别禁用:
apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  serviceAccountName: build-robot
  automountServiceAccountToken: false

注意:如果同时在 Pod 和 Service Account 中设置了此选项,Pod 级别的设置优先级更高。

使用 Service Account 进行权限管理

创建 Service Account

kubectl create serviceaccount sample-sc

创建后会生成一个关联的 Secret,其中包含访问令牌:

apiVersion: v1
kind: Secret
metadata:
  name: sample-sc-token-9x7nk
type: kubernetes.io/service-account-token
data:
  token: <base64编码的JWT令牌>
  ca.crt: <集群CA证书>
  namespace: <命名空间>

定义角色权限

创建 ClusterRole 定义访问权限:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: viewer-role
rules:
- apiGroups: [""]
  resources: ["pods", "services", "deployments"]
  verbs: ["get", "list", "watch"]

绑定角色到 Service Account

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: sample-role-binding
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: viewer-role
subjects:
- kind: ServiceAccount
  name: sample-sc
  namespace: default

配置 kubeconfig

使用 Service Account 的令牌配置 kubeconfig:

users:
- name: cluster-viewer
  user:
    token: <从Secret中获取的解码后的JWT令牌>

多 Service Account 管理

每个命名空间都有一个默认的 default Service Account。您可以创建额外的 Service Account 来满足不同 Pod 的安全需求。

创建新 Service Account:

kubectl create serviceaccount build-robot

在 Pod 中指定使用的 Service Account:

spec:
  serviceAccountName: build-robot

手动管理 Service Account 令牌

您可以手动创建 Secret 并关联到 Service Account:

apiVersion: v1
kind: Secret
metadata:
  name: build-robot-secret
  annotations:
    kubernetes.io/service-account.name: build-robot
type: kubernetes.io/service-account-token

为 Service Account 添加 ImagePullSecret

  1. 首先创建 ImagePullSecret:
kubectl create secret docker-registry myregistrykey \
  --docker-server=DOCKER_REGISTRY_SERVER \
  --docker-username=DOCKER_USER \
  --docker-password=DOCKER_PASSWORD \
  --docker-email=DOCKER_EMAIL
  1. 将 ImagePullSecret 添加到 Service Account:
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'

这样,该命名空间下所有使用默认 Service Account 的 Pod 都会自动包含这个 ImagePullSecret。

最佳实践

  1. 最小权限原则:为每个工作负载创建专用的 Service Account,并只授予必要的权限
  2. 定期轮换令牌:定期更新 Service Account 的令牌
  3. 禁用不必要的自动挂载:对于不需要访问 API 服务器的 Pod,禁用凭证自动挂载
  4. 使用命名空间隔离:在不同命名空间中创建 Service Account 以实现更好的隔离

通过合理配置 Service Account,您可以实现 Kubernetes 集群中工作负载的精细权限控制,提高集群的安全性。

kubernetes-handbook Kubernetes中文指南/云原生应用架构实战手册 - https://jimmysong.io/kubernetes-handbook kubernetes-handbook 项目地址: https://gitcode.com/gh_mirrors/ku/kubernetes-handbook

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

kubelet配置cni插件_kubernetes 实战 1:使用 kubeadm 创建高可用集群
weixin_39609670的博客
12-21 322
最近两年kubernetes越来越火热,生态圈越来越强大,朋友圈也经常有朋友发一些kubernetes的文章,周末闲着也是闲着,也写点东西吧,从集群的安装、监控、日志收集、CI/CD以及其它生产环境中一些场景,文章还是以实战内容为主。k8s 集群主要有以下几个组件:etcd: 一款分布式的一致性KV存储存储和服务发现系统,存储了整个集群的状态kube-apiserver: 提供kubernet...
kubernetes 实战 1:使用 kubeadm 创建高可用集群
gyz0420的专栏
08-07 398
最近两年kubernetes越来越火热,生态圈越来越强大,朋友圈也经常有朋友发一些kubernetes的文章,周末闲着也是闲着,也写点东西吧,从集群的安装、监控、日志收集、CI/CD以及其它生产环境中一些场景,文章还是以实战内容为主。 k8s 集群主要有以下几个组件: etcd: 一款分布式的一致性KV存储存储和服务发现系统,存储了整个集群的状态 kube-apiserver: 提...
[k8s学习]《kubernetes-handbook》第一章 Kubernetes 简介 学习记录
蜗牛的博客
05-17 532
原文地址:https://github.com/feiskyer/kubernetes-handbook/blob/master/zh/SUMMARY.md目录:   第一章 Kubernetes 简介    1.1 基本概念    1.2 Kubernetes 101    1.3 Kubernetes 201    1.4 Kubernetes 集群正文:简介    Kubernetes 是谷...
Kubernetes Handbook 开源项目教程
gitblog_01180的博客
08-13 723
Kubernetes Handbook 开源项目教程 kubernetes-handbookKubernetes中文指南/云原生应用架构实战手册 - https://jimmysong.io/kubernetes-handbook项目地址:https://gitcode.com/gh_mirrors/ku/kubernetes-handbook 1. 项目目录结构及介绍 Kubernetes ...
Kubernetes 中文指南/云原生应用架构实战手册:开启云原生之旅
gitblog_01168的博客
08-13 503
Kubernetes 中文指南/云原生应用架构实战手册:开启云原生之旅 kubernetes-handbookKubernetes中文指南/云原生应用架构实战手册 - https://jimmysong.io/kubernetes-handbook项目地址:https://gitcode.com/gh_mirrors/ku/kubernetes-handbook 项目介绍 在云原生技术的浪潮中...
Kubernetes Handbook
05-15
Kubernetes Handbook
kubernetes-handbook
04-30
学习kubernetes不可多得的好书,epub格式兼容移动端和kindle,从k8s环境安装到各个组件的详细解释,有理论的讲解,有实践的例子,一册在手,夫复何求
kubernetesService Account
码农崛起
04-17 877
kubernetesService Account Service account作用 Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务。 Service account使用场景 运行在pod里的进程需要调用Kubernetes API以及非Kubernetes API的其它服务。Service Account它并不是给kuberne...
kubernetes系列二:概念梳理
jiangmingfei的博客
12-27 9815
文章目录一、资源对象管理1、资源对象概述(1)Pod(2)Replication Controller &amp;amp; RC (副本控制器)(3)Replica Set &amp;amp; RS (副本集)(4)Deployment (部署)(5)Service (服务)(6)Job (任务)(7)DaemonSet (后台支撑服务集)(8)StatefulSet (有状态服务集)(9)Volume (存储卷...
kubernetes-handbook, Kubernetes HandbookKubernetes指南) https.zip
10-09
Kubernetes Handbook》是深入理解并掌握Kubernetes这一开源容器编排系统的重要资源。Kubernetes,简称K8s,由Google发起,现由Cloud Native Computing Foundation(CNCF)维护,是目前最流行的容器管理平台之一,...
kubernetes handbook
03-02
ServiceAccount和ConfigMap是Kubernetes中的重要概念,ServiceAccount用于定义Pods运行时使用的身份认证信息,而ConfigMap则用于存储配置信息,可以将其配置信息注入到Pods中,实现配置的动态更新而不必重建Pods。...
Kubernetes指南(Kubernetes Handbook)
03-19
总之,Kubernetes Handbook 是一份详尽的指南,旨在帮助读者深入理解Kubernetes的核心概念、原理和实践,为部署和管理容器化的应用提供全面的指导。随着Kubernetes的不断发展,它已成为容器编排领域的主导者,为现代...
Kubernetes Handbook:探索容器编排原理与实践
- **ServiceAccount**:提供给Pod进行API访问的身份认证。 - **ReplicationController和ReplicaSet**:保证指定数量的Pod副本始终运行,是Deployment的前身。 - **Job**:用于运行一次性任务,确保至少完成一次。 - ...
[k8s学习]《kubernetes-handbook》第二章 核心原理 学习记录
蜗牛的博客
05-29 532
原文地址:https://github.com/feiskyer/kubernetes-handbook/blob/master/zh/SUMMARY.md目录:   第二章 核心原理    2.1 架构原理    2.2 设计理念    2.3 核心组件    2.4 etcd    2.5 kube-apiserver        2.5.1 访问 API        2.5.2 扩展 A...
使用Jenkins进行持续构建与发布应用到Kubernetes集群中
热门推荐
云原生社区博客分享
06-28 1万+
本文已归档到kubernetes-handbook中的【最佳实践—使用Jenkins进行持续构建与发布】章节中,一切内容以kubernetes-handbook中稳准。我们基于Jenkins的CI/CD流程如下所示。流程说明应用构建和发布流程说明。 用户向Gitlab提交代码,代码中必须包含Dockerfile; 将代码提交到远程仓库; 用户在发布应用时需要填写git仓库地址和分支、服务类型、服务名
Linphone APK:适用于Android的SIP通信客户端
最新发布
06-18
资源下载链接为: https://pan.quark.cn/s/c705392404e8 Linphone是一款功能强大的通信工具,支持高清音频和视频通话,适用于智能手机、平板电脑以及桌面平台。它遵循电信行业的开放标准,如SIP和RTP,因此能够与大多数PBX系统和SIP服务器实现无缝交互操作,并且可以与任何SIP VoIP运营商配合使用。此外,Linphone还提供了一套完整的即时消息传递和IP到IP呼叫解决方案,其中包括Linphone应用程序、Liblinphone跨平台VoIP软件开发工具包(SDK)以及Flexisip服务器等互补产品。
济南大学数字电路与数字逻辑课设-电子钟(Logisim)
06-18
我的lojisim时钟设计
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贡秀丽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值