Kubernetes 中的 ServiceAccount 使用指南

已于 2025-03-19 16:03:54 修改
阅读量1k 收藏 11
点赞数 17
分类专栏: 运维 文章标签: kubernetes 容器 云原生
于 2025-02-20 16:14:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_46423830/article/details/145756519
版权

在这里插入图片描述

在 Kubernetes (K8s) 中,ServiceAccount 是一种专门用于控制 Pod 与 Kubernetes API 之间交互的资源。它提供身份验证的凭据,通常用于向 Pod 授予访问 Kubernetes API 的权限。

1. ServiceAccount 的概念

默认情况下,Kubernetes 集群会自动为每个 Pod 分配一个默认的 default ServiceAccount。ServiceAccount 本质上是 K8s 内部的一种身份标识,用于关联 Pod 与相关的权限。

2. ServiceAccount 的用途

  • 授予 Pod 访问 Kubernetes API 的权限。
  • 结合 RBAC (Role-Based Access Control) 实现细粒度的权限控制。
  • 配合 Kubernetes 中的身份认证、访问控制和审计功能。
  • 用于在 Kubernetes 中运行需要访问 K8s API 的应用程序(如 Operators、Controllers)。

3. 创建和使用 ServiceAccount

3.1 创建 ServiceAccount

需要定义一个 ServiceAccount 的 YAML 文件 service-account.yaml

apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account
  namespace: default

执行以下命令来创建:

kubectl apply -f service-account.yaml

3.2 将 ServiceAccount 绑定到 Pod

需要在 Pod 的 YAML 文件中指定 serviceAccountName,例如 my-pod.yaml

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
  namespace: default
spec:
  serviceAccountName: my-service-account
  containers:
  - name: my-container
    image: nginx

执行以下命令来创建 Pod:

kubectl apply -f my-pod.yaml

3.3 查看 ServiceAccount

使用以下命令查看集群中的 ServiceAccount:

kubectl get serviceaccounts

4. 查询 ServiceAccount

可以使用多种方式来查询 ServiceAccount 的详细信息:

4.1 列出所有 ServiceAccount

列出当前命名空间中的所有 ServiceAccount:

kubectl get serviceaccounts

如果需要查看其他命名空间的 ServiceAccount,可以使用 -n 选项:

kubectl get serviceaccounts -n <namespace-name>

4.2 查看特定 ServiceAccount 的详细信息

可以使用 kubectl describe 命令查看 ServiceAccount 的详细信息:

kubectl describe serviceaccount my-service-account

4.3 查看 ServiceAccount 关联的 Secret

执行以下命令列出所有关联的 Secret:

kubectl get secrets

并通过以下命令查看 Secret 的详细信息:

kubectl describe secret <secret-name>

5. RBAC 与 ServiceAccount

可以为 ServiceAccount 配置 RBAC 权限,例如赋予 my-service-account 读取 Pod 列表的权限。

5.1 创建 Role

定义一个 role.yaml 文件,包含如下内容:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

执行以下命令来创建 Role:

kubectl apply -f role.yaml

5.2 创建 RoleBinding

定义一个 rolebinding.yaml 文件,绑定 my-service-accountpod-reader 角色:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-reader-binding
  namespace: default
subjects:
- kind: ServiceAccount
  name: my-service-account
  namespace: default
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

执行以下命令来创建 RoleBinding:

kubectl apply -f rolebinding.yaml

6. ServiceAccount 的 Token

每个 ServiceAccount 都会自动创建一个 Secret,包含访问 Kubernetes API 所需的 token。可以通过以下命令查看:

kubectl get secrets

也可以通过描述 ServiceAccount 看到关联的 Secret:

kubectl describe serviceaccount my-service-account

7. 使用场景

  • 授权某个 Pod 访问集群中的资源。
  • 安全运行需要 Kubernetes API 交互的自定义控制器。
  • 与 GitOps 或 CI/CD 相关的工作负载集成。

通过正确地创建和配置 ServiceAccount,可以在 Kubernetes 集群中实现更安全、灵活的权限管理。如需更多细化配置或有其他问题,欢迎继续交流!

k8s之service account
fengcai_ke的博客
07-11 3762
k8s service account分析
云原生ServiceAccount程序用户详解
weixin_73059729的博客
08-19 1235
Kubernetes提供两种完全不同的方式来为客户端提供支持,这些客户端可能运行在你的集群中,也能与你的集群的控制平面有关,需要向API(提供Kubernetes API服务的控制平缅组件),服务器完成身份认证。服务账号(Service Account)为Pod中运行的进程提供身份标识,并映射到ServiceAccount对象。当你向API服务器执行身份认证时,你会讲自己标识为某个用户(User)。Kubernetes能够识别用户的概念,但是Kubernetes自身并不提供User API。
k8s之ServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
k8s之ServiceAccount详解
最新发布
woshihlf的博客
04-23 1101
为工作负载提供身份标识通过 RBAC 实现精细的访问控制支持安全的服务间通信管理外部资源访问凭证实现最小权限原则隔离不同工作负载提供可审计的服务身份增强集群整体安全性理解 ServiceAccount 与 Pod、Secret、RBAC 等组件的关系,对于设计安全的 Kubernetes 架构至关重要。随着 Kubernetes 的发展,ServiceAccount 机制也在不断改进,如 TokenRequest API 的引入,使得身份管理更加安全和灵活。
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
K8s中Service Account和RBAC
l1727377的博客
12-16 3469
①.ServiceAccount(服务账户)是Kubernetes集群中的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够与Kubernetes API进行交互。②.ServiceAccountKubernetes中用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群中具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
K8S ServiceAccount
summer_fish的专栏
08-07 2271
一、ServiceAccount通常被用于授权Pod与集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccountKubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
Kubernetes中文指南_云原生应用架构实践手册(201910).pdf
09-18
Kubernetes中的安全性部分,文档详细解释了Secret、ConfigMap、ServiceAccount、NetworkPolicy等安全性机制的使用和配置。 在Kubernetes中的存储部分,文档详细解释了Volume、Persistent Volume、StorageClass等...
Kubernetes1.6集群部署完全指南——二进制文件部署开启TLS基于CentOS7
10-24
### Kubernetes 1.6 集群部署完全指南:二进制文件部署开启 TLS 基于 CentOS 7 #### 概述 本指南旨在详细介绍如何在 CentOS 7 系统上通过二进制文件部署的方式搭建一个启用 TLS 的 Kubernetes 1.6 集群。TLS...
kubernetes使用指南
02-09
Kubernetes 还提供了强大的身份和权限控制机制,如 ServiceAccount 和 RBAC(Role-Based Access Control),以及 NetworkPolicy 来确保网络安全。在存储方面,持久卷(Persistent Volumes)、StorageClass 和本地...
K8S学习指南(36)-k8s权限管理对象ServiceAcount
俞兆鹏的博客
12-24 1318
通过本文,我们深入了解了Kubernetes中权限管理对象ServiceAccount的基本概念、使用方法,并通过详细的示例演示了如何创建ServiceAccount,并将其与Pod关联,以实现身份验证。在示例中,我们将创建一个ServiceAccount,并将其关联到一个简单的Pod,演示Pod如何使用ServiceAccount提供的令牌进行身份验证。上述步骤演示了如何创建ServiceAccount,并将其与Pod关联,以便在Pod中获取ServiceAccount提供的令牌进行身份验证。
kubernetes系列】KubernetesServiceAccount
margu_168的博客
07-12 2118
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 2387
梳理出ServiceAccount服务账号一条线
Service Account
喝醉酒的小白
09-18 599
Service Accountkubernetes管理的账号,用于为Pod中的服务进程在访问Kubernetes时提供身份标识。User Account:一般是独立于kubernetes之外的其他服务管理的用户账号。
ServiceAccount
weixin_44524077的博客
11-27 730
Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认证机制,具体请参见认证与ServiceAccount。 Authorization:用于控制用户对资源访问的授权,对访问的授权目前主要使用RBAC机制,将在RBAC介绍。 图1 API Server的认证授权 认证与ServiceAccount Kuber
Kubernetes】服务账号 Service Account
书山有路,学海无涯。记录成长,追逐梦想
09-15 1578
服务账号(Service Account)是为了方便 Pod 中的进程调用 Kubernetes API 资源或访问其他外部服务而设计的。
KubernetesService Account
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
05-14 689
Kubernetes 中,Service Account(服务账户)是一种特殊的 Kubernetes 账户,主要用于在 Pod 内运行的应用程序,以便这些应用程序能够与 Kubernetes API 进行交互,比如读取或修改 Kubernetes 对象。每个命名空间下默认都会有一个名为default的服务账户,也可以创建额外的服务账户来满足不同权限需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DZSpace

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值