【k8s】serviceaccount是给pod使用的与外部访问k8s无关

最新推荐文章于 2025-07-11 15:38:42 发布
原创 最新推荐文章于 2025-07-11 15:38:42 发布 · 1.7k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云原生

`ServiceAccount`主要用于为Pod提供身份认证和权限管理,以便 Pod 可以安全地访问 Kubernetes API 或其他集群内部资源。它与外部用户通过`kubectl`访问 Kubernetes 集群的机制是不同的。以下是对两者的详细区分:

---

1.ServiceAccount(服务账户)

• 用途:`ServiceAccount`是为Pod设计的,用于定义 Pod 在集群内部的身份和权限。

• 工作方式:

• 当 Pod 被创建时,可以指定一个`ServiceAccount`(通过`serviceAccountName`字段)。

• Kubernetes 会为该`ServiceAccount`自动生成一个访问令牌(Token),并将其挂载到 Pod 的文件系统中(默认路径为`/var/run/secrets/kubernetes.io/serviceaccount/token`)。

• Pod 内的应用程序可以使用这个 Token 来访问 Kubernetes API 或其他需要身份验证的服务。

• 权限管理:

• `ServiceAccount`的权限通过Role和RoleBinding(或ClusterRole和ClusterRoleBinding)来定义。

• 这些权限是细粒度的,可以根据需要授予最小权限,确保 Pod 只能访问必要的资源。

---

2.外部用户访问 Kubernetes(如通过 kubectl)

• 用途:外部用户(如管理员、开发者)通过`kubectl`或其他工具访问 Kubernetes 集群时,使用的是用户账户(User Account)。

• 工作方式:

• 外部用户的身份和权限通过kubeconfig 文件配置。

• kubeconfig 文件中包含了用户的凭据(如证书、Token 等),以及集群的连接信息。

• 用户可以通过`kubectl`命令行工具与集群交互,执行各种操作(如部署应用、查询资源等)。

• 权限管理:

最低0.47元/天 解锁文章
risc123456
关注
k8s之service account
fengcai_ke的博客
07-11 3831
k8s service account分析
K8S学习指南(36)-k8s权限管理对象ServiceAcount
俞兆鹏的博客
12-24 1443
通过本文,我们深入了解了Kubernetes中权限管理对象ServiceAccount的基本概念、使用方法,并通过详细的示例演示了如何创建ServiceAccount,并将其Pod关联,以实现身份验证。在示例中,我们将创建一个ServiceAccount,并将其关联到一个简单的Pod,演示Pod如何使用ServiceAccount提供的令牌进行身份验证。上述步骤演示了如何创建ServiceAccount,并将其Pod关联,以便在Pod中获取ServiceAccount提供的令牌进行身份验证。
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 9349
Kubernetes 的 Service Account 是如何工作的
k8sServiceAccount
热门推荐
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
K8S Base: ServiceAccount
summer_fish的专栏
08-07 2389
一、ServiceAccount通常被用于授权Pod集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccountPod提供了一个身份,使得Pod能够Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccount,Kubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
k8sServiceAccount详解
woshihlf的博客
04-23 1863
为工作负载提供身份标识通过 RBAC 实现精细的访问控制支持安全的服务间通信管理外部资源访问凭证实现最小权限原则隔离不同工作负载提供可审计的服务身份增强集群整体安全性理解 ServiceAccount Pod、Secret、RBAC 等组件的关系,对于设计安全的 Kubernetes 架构至关重要。随着 Kubernetes 的发展,ServiceAccount 机制也在不断改进,如 TokenRequest API 的引入,使得身份管理更加安全和灵活。
k8s-ServiceAccount 配置
ZhanBiaoChina的博客
05-21 815
*Role(角色)**是 Kubernetes 中定义权限的资源对象,它只能在特定的命名空间内生效。**RoleBinding(角色绑定)**是将 Role 分配给用户、组或 ServiceAccount 的资源对象。ServiceAccount 的 Token 是一个自动创建的 Secret,用于 Pod 访问 Kubernetes API。Pod 可以通过 spec.serviceAccountName 字段指定使用某个 ServiceAccount
k8s:UserAccount、ServiceAccount、Role、ClusterRole
weixin_50606361的博客
09-07 1505
UserAccount是给kubernetes集群外部用户使用的,如kubectl访问k8s集群要用Useraccount用户, kubeadm安装的k8s,默认的useraccount用户是kubernetes-admin;–>k8s客户端(一般用:kubectl) ------>API Server(APIServer需要对客户端的请求做认证,认证成功才会执行)ServiceAccountPod使用的账号,Pod容器的进程需要访问API Server时用的就是ServiceAccount账户;
K8S - 用service account 登陆kubectl
nvd11的专栏
09-15 926
刚安装好k8s时我就可以用kubectl 在master server里管理k8s的资源。这时我们是感觉不到 k8s的用户和权限管理存在的, 但是其实用户的配置都在kubeclt 的配置文件中/etc/kubernetes/admin.conf 中我们可以用下命令来查看当前正在用的帐号当我们把这个配置复制到另1台机器上, 那么那台机器也可以用kubernetes-admin 来登陆kubectl。
K8s安全实践:使用ServiceAccount为应用程序授权
zgt_certificate的博客
06-18 572
当default SA创建时,会自动创建一个default-token-xxx的secret,并自动关联到SA。当创建namespace时,会自动创建一个名为default的SA,这个SA没有绑定任何权限。无需单独为某个用户创建权限,统一为这个组名进行授权,所有的用户都可以以组的身份访问资源。测试:只要O字段都是dev,这些用户持有的kubeconfig文件都拥有相同的权限。Kubernetes的默认授权策略,动态配置策略(修改即时生效)。通过RBAC可以实现对不同用户或服务账号的精细化权限控制。
K8s中Service Account和RBAC
l1727377的博客
12-16 3667
①.ServiceAccount(服务账户)是Kubernetes集群中的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够Kubernetes API进行交互。②.ServiceAccount是Kubernetes中用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群中具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
ServiceAccountK8s上的说明
多头注意力探索Now
09-08 1198
K8s上的实体账号的权限管理的抽象设计思想和实现
3-2-58、k8s安全-serviceAccount
xuebo1129927648的博客
07-11 161
在 Kubernetes 中,是用于为 Pod 内的进程提供身份标识的机制,是集群安全体系的重要组成部分。本文将详细解析其核心概念、工作原理及最佳实践。
K8S学习之serviceacount~RBAC授权
weixin_60092693的博客
01-25 1629
第一部分、认证 kubernetes上的账号 kubectl explain pods.spec可以看到有一个字段serviceAccountName(服务账号名称),这个就是我们pod连接apiserver时使用的账号,整个kubernetes集群中的账号有两类,ServiceAccount(服务账号),User account(用户账号) User account:实实在在现实中的人,人可以登陆的账号,客户端想要对apiserver发起请求,apiserver要识别这个客户端是否有请求的权限,那么不同的
k8s学习第20天--service account
qq_34893654的博客
05-04 362
在 Kubernetes 中,Service Account 是一种用于在 Pod 内运行的特殊用户身份。每个 Service Account 都会分配一个唯一的名称和一个对应的 API 对象。使用 Service Account 可以轻松管理 Pod 的身份验证和授权问题。在默认情况下,Kubernetes 会为每个 Namespace 分配一个默认的 Service Account,使得所有在该 Namespace 内创建的 Pod 都可以自动使用该 Service Account 进行身份验证。
Kubernetes 中的 ServiceAccount 使用指南
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
02-20 1436
在 Kubernetes (K8s) 中,是一种专门用于控制 Pod Kubernetes API 之间交互的资源。它提供身份验证的凭据,通常用于向 Pod 授予访问 Kubernetes API 的权限。
k8s系列之十三Service Account和RBAC授权
ByteX的博客
02-05 1783
首先Kubernetes中账户区分为:User Accounts(用户账户) 和 Service Accounts(服务账户) 两种,它们的设计及用途如下:UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,使用kubectl命令时用的就是UserAccount账户。UserAccount是全局性,在集群所有namespaces中,名称具有唯一性,默认情况下用户为admin;用户名称可以在kubeconfig中查看。
Kubernetes中的service account
韦远科的专栏
02-15 7367
service account,顾名思义,主要是给service使用的一个账号。 具体一点,就是为了让Pod中的进程、服务能访问k8s集群而提出的一个概念,基于service account,pod中的进程、服务能获取到一个username和令牌Token,从而调用kubernetes集群的api server。 kubernetes中,每个命名空间默认会有一个名为“default”的serv...
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts Serv
k8s使用promtheus,创建serviceAccountName: monitor
最新发布
11-05
<think>我们正在讨论如何在Kubernetes中使用Prometheus时创建一个名为`monitor`的ServiceAccount。 根据之前的对话,我们已经创建了一个名为`monitor`的ServiceAccount,并为其配置了RBAC权限(可选步骤)。然后在Prometheus的部署(Deployment)中通过`serviceAccountName: monitor`来使用它。 但是,现在用户的问题是在Prometheus的上下文中创建这个ServiceAccount。需要注意的是,在Prometheus Operator环境中,我们通常不会直接在每个Prometheus Pod中指定ServiceAccount,而是通过Prometheus自定义资源(CR)来配置。 根据引用[1]和[2],我们注意到Prometheus Operator使用ServiceMonitor来发现服务。但是,对于Prometheus自身运行所需的ServiceAccount,通常是通过创建Prometheus资源时指定的。 引用[5]中提到了使用Helm安装Prometheus时设置`serviceMonitorsSelector`,但没有直接提到ServiceAccount的创建。 因此,我们需要分两种情况: 1. 使用原生Prometheus(非Operator模式):我们可以按照之前的方法创建ServiceAccount并在Prometheus的Deployment中引用。 2. 使用Prometheus Operator:通常Operator会为Prometheus实例创建一个专用的ServiceAccount(名称可能是`prometheus-k8s`等),但如果我们想要使用名为`monitor`的ServiceAccount,我们需要在定义Prometheus资源时指定。 下面分别说明: ### 情况1:原生Prometheus部署(非Operator模式) 步骤已经在之前的回答中给出: 1. 创建ServiceAccount: ```yaml apiVersion: v1 kind: ServiceAccount metadata: name: monitor namespace: monitoring # 注意:Prometheus通常部署在monitoring命名空间 ``` 2. (可选)创建RBAC权限,例如ClusterRole和ClusterRoleBinding,让这个ServiceAccount有权限抓取指标。 3. 在Prometheus的Deployment中指定ServiceAccount: ```yaml apiVersion: apps/v1 kind: Deployment metadata: name: prometheus namespace: monitoring spec: template: spec: serviceAccountName: monitor # 使用我们创建的ServiceAccount containers: - name: prometheus image: prom/prometheus:latest # ... 其他配置 ``` ### 情况2:使用Prometheus Operator 在Operator模式中,我们通过创建Prometheus自定义资源(CR)来部署Prometheus实例。在Prometheus CR中,有一个`serviceAccountName`字段可以指定。 步骤: 1. 创建ServiceAccount(和上面一样): ```yaml apiVersion: v1 kind: ServiceAccount metadata: name: monitor namespace: monitoring ``` 2. 为这个ServiceAccount配置RBAC权限(注意:Operator模式中,Prometheus需要访问集群资源的权限,包括读取ServiceMonitor等自定义资源以及抓取目标)。 3. 在Prometheus CR中指定ServiceAccount: ```yaml apiVersion: monitoring.coreos.com/v1 kind: Prometheus metadata: name: my-prometheus namespace: monitoring spec: serviceAccountName: monitor # 指定使用我们创建的ServiceAccount # ... 其他配置(如版本、资源、存储等) ``` 这样,Operator在创建Prometheus StatefulSet时就会使用指定的ServiceAccount。 ### 注意点 - 命名空间:确保ServiceAccount和Prometheus实例在同一个命名空间(通常是`monitoring`)[^1]。 - 权限配置:在Operator模式中,我们需要确保这个ServiceAccount有足够的权限。Operator默认会为Prometheus创建RBAC资源,但如果我们使用自定义的ServiceAccount,则需要自己配置。权限包括: - 对Pod、Service、Endpoints等资源的读取(用于服务发现和抓取) - 对ServiceMonitor、PodMonitor等自定义资源的读取(在监控的命名空间中) - 可能还需要其他权限(如读取配置、规则等) 我们可以参考Operator自带的ClusterRole(通常名为`prometheus-k8s`)来创建。 ### 验证 部署后,可以检查Prometheus Pod使用ServiceAccount: ```bash kubectl get pod -n monitoring <prometheus-pod-name> -o yaml | grep serviceAccount ``` 应该会显示`serviceAccount: monitor`。 另外,也可以检查Prometheus的日志,如果没有权限,可能会在日志中看到相关错误。 ### 示例:为Prometheus Operator中的monitor账户配置RBAC 由于Prometheus Operator需要访问集群资源,我们可以创建一个ClusterRole并绑定到我们的ServiceAccount。 1. 创建ClusterRole(参考默认的`prometheus-k8s`): ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus-monitor rules: - apiGroups: [""] resources: - nodes - services - endpoints - pods - nodes/proxy verbs: ["get", "list", "watch"] - apiGroups: ["extensions"] resources: - ingresses verbs: ["get", "list", "watch"] - nonResourceURLs: ["/metrics"] verbs: ["get"] ``` 2. 创建ClusterRoleBinding: ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: prometheus-monitor roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: prometheus-monitor subjects: - kind: ServiceAccount name: monitor namespace: monitoring ``` 注意:以上ClusterRole是一个基础示例,可能需要根据实际监控需求调整。 另外,在Prometheus Operator环境中,我们还需要让Prometheus能够读取ServiceMonitor等自定义资源。Operator默认创建的ClusterRole`prometheus-k8s`中通常包含这些规则。我们可以查看并添加到自定义ClusterRole中,或者直接使用这个ClusterRole(如果存在): ```yaml rules: - apiGroups: ["monitoring.coreos.com"] resources: ["servicemonitors", "podmonitors", "probes", "prometheusrules"] verbs: ["get", "list", "watch"] ``` 因此,完整的ClusterRole可能需要包含上述规则。 ### 相关问题 §§相关问题§§ 1. 在Prometheus Operator中,如何为自定义ServiceAccount配置监控命名空间外的资源访问权限? 2. 如何验证Prometheus使用ServiceAccount是否具有足够的权限? 3. 如何更新Prometheus Operator中Prometheus实例的ServiceAccount? 4. 在Prometheus Operator中,ServiceMonitor如何Prometheus关联? 5. Prometheus Operator的RBAC权限配置最佳实践是什么? </think>### 在 Kubernetes 中使用 Prometheus 创建 `serviceAccountName: monitor` 的方法 #### 📌 核心步骤(适用原生 Prometheus 和 Operator 模式) 1. **创建 ServiceAccount 资源** ```yaml apiVersion: v1 kind: ServiceAccount metadata: name: monitor namespace: monitoring # 必须 Prometheus 同命名空间 [^1] ``` 2. **配置 RBAC 权限** ```yaml # ClusterRole (监控所需最小权限) apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus-monitor rules: - apiGroups: [""] resources: ["nodes", "pods", "services", "endpoints", "configmaps"] verbs: ["get", "list", "watch"] - apiGroups: ["extensions"] resources: ["ingresses"] verbs: ["get", "list", "watch"] --- # ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: prometheus-monitor-binding roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: prometheus-monitor subjects: - kind: ServiceAccount name: monitor namespace: monitoring ``` --- ### 🔧 不同部署模式下的集成方法 #### 方案 A:原生 Prometheus 部署模式 在 Deployment 中直接引用 ServiceAccount: ```yaml # prometheus-deployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: prometheus-server namespace: monitoring spec: template: spec: serviceAccountName: monitor # 关键配置 [^4] containers: - name: prometheus image: prom/prometheus:v2.41.0 ports: - containerPort: 9090 ``` #### 方案 B:Prometheus Operator 模式 在 Prometheus CRD 中指定 ServiceAccount: ```yaml # prometheus-crd.yaml apiVersion: monitoring.coreos.com/v1 kind: Prometheus metadata: name: k8s namespace: monitoring spec: serviceAccountName: monitor # Operator 模式专用配置 [^1][^5] serviceMonitorSelector: matchLabels: app: prometheus # 关联 ServiceMonitor [^2][^5] resources: requests: memory: 400Mi ``` --- ### 🔍 验证调试 1. **检查 ServiceAccount 绑定** ```bash kubectl describe clusterrolebinding prometheus-monitor-binding ``` 2. **验证 Pod 使用的账户** ```bash kubectl get pod -n monitoring <PROMETHEUS_POD> -o yaml | grep serviceAccountName # 应返回:serviceAccountName: monitor ``` 3. **测试 API 访问权限** ```bash kubectl run -it --rm test-pod --image=curlimages/curl \ --serviceaccount=monitor -n monitoring -- sh curl -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \ https://kubernetes.default/api/v1/namespaces/monitoring/pods ``` --- ### ⚠️ 关键注意事项 1. **命名空间一致性** ServiceAccount 必须 Prometheus 实例在同一命名空间 [^1] 2. **Operator 特定配置** - 使用 `spec.serviceAccountName` 而非 Pod 模板中的配置 [^1][^5] - 确保 `serviceMonitorSelector` 匹配监控目标标签 ([^2] 示例) 3. **Helm 部署配置** ```bash helm upgrade prometheus prometheus-community/kube-prometheus-stack \ --set prometheus.serviceAccount.name=monitor \ --set prometheus.serviceAccount.create=false [^5] ``` 4. **安全加固** - 遵循最小权限原则 - 定期轮换 ServiceAccount token - 使用 `automountServiceAccountToken: false` 禁用非必要挂载 --- ### 💡 进阶配置示例 为监控节点添加特殊权限: ```yaml # 在 ClusterRole 中追加规则 rules: - apiGroups: [""] resources: ["nodes/metrics"] # 节点指标端点 verbs: ["get"] - nonResourceURLs: ["/metrics"] verbs: ["get"] ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值