【CKS】考试之 ServiceAccount

辰蒙关照

已于 2023-12-18 15:02:33 修改

阅读量293

点赞数

分类专栏： CKS 文章标签： kubernetes 运维 devops docker

于 2023-09-04 14:15:24 首次发布

本文链接：https://blog.youkuaiyun.com/sinat_33076015/article/details/132667665

版权

CKS 专栏收录该内容

17 篇文章

订阅专栏

本文详细介绍了在CKS考试中关于ServiceAccount的设置，包括如何在Pod中配置ServiceAccount，修改yaml文件以控制自动挂载，以及如何创建和清理namespace中的ServiceAccount。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

2.【CKS】考试之 ServiceAccount

2.1 题目要求

在这里插入图片描述

2.2 官网位置

官网搜索：pod服务账号查找位置：为 Pod 配置服务账号

官网

2.3 操作步骤

2.3.1 修改创建SA

主要涉及参数：automountServiceAccountToken: false

kubectl create sa backend-sa -n prod --dry-run=client -oyaml > sa.yaml

修改yaml文件

kind: ServiceAccount
metadata:
  creationTimestamp: null
  name: backend-sa
  namespace: prod
automountServiceAccountToken: false #手动添加此项

也可以直接选择不给特定 Pod 自动挂载 API 凭据

2.3.2 使用yaml创建一个pod

apiVersion: v1
kind: Pod
metadata:
  labels:
    run: backend
  name: backend
  namespace: prod
spec:
  serviceAccountName: backend-sa   #手动添加
  automountServiceAccountToken: false  #根据考题要求，看是pod还是sa不自动挂载
  containers:
  - image: nginx
  ...

kubectl create -f pod-manifests.yaml

2.3.3 清理namespace prod中未使用的SA

kubectl  get  sa -n prod
kubectl get po -n prod -oyaml | grep -i serviceaccountname|sort -rn|uniq 
kubectl delete sa xxx -n prod

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

辰蒙关照

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CKS学习笔记-ServiceAccount练习

weixin_43394724的博客

10-11

287

本实验实现不给服务账号自动挂载 API 凭据并应用到Pod Service Account Kubernetes 区分用户账户和服务账户的概念主要基于以下原因： • 用户账户是针对人而言的。服务账户是针对运行在 pod 中的进程而言的。 • 用户账户是全局性的。其名称在集群各 namespace 中都是全局唯一的，未来的用户资源不会做 namespace 隔离，服务账户是 namespace 隔离的。 • 通常情况下，集群的用户账户可能会从企业数据库进行同步，其创建需要特殊权限，并且涉及到复杂的业务流

Kubernetes集群强化:CKS考试核心实践指南

TechEnthusiast的博客

09-22

349

作为Certified Kubernetes Security Specialist (CKS)认证的一个重要组成部分,集群强化是每个Kubernetes管理员都应该掌握的关键技能。集群强化是Kubernetes安全的基石,也是CKS考试的重要内容。除了本文介绍的这些核心实践,还要持续关注Kubernetes社区的最新安全建议,定期进行安全审计,并培养团队的安全意识。Kubernetes API服务器是集群的中枢神经系统,控制着整个集群的操作。因此,限制对API服务器的访问是保护集群安全的首要任务。

参与评论您还未登录，请先登录后发表或查看评论

k8s学习-CKS真题-Pod指定ServiceAccount_cks 考题，网络安全面试自我介绍

2301_79054215的博客

04-17

848

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份。这块实际操作的时候yaml敲成了yml，影响不大，就没有重新弄了。

Kubernetes RBAC管理

dahulihuli的博客

10-20

560

ServiceAccount为pod中的进程和外部用户提供身份信息。所有的kubernetes集群账户分为两类，kubernetes管理的serviceaccount和useraccount。apiserver时集群的入口，对于上两者肯定时不能随便访问的，所有我们必须有一些认证信息，当他们联系apiserver的时候，他们会被认证为一个特定的ServiceAccount当你在创建pod时如果没有指定sa，系统会给你自动默认使用default下的serviceaccount。

Kubernetes 安全秘籍：5 个你必须知道的知识点

知道自己不要什么，不管多么大的诱惑（欢迎关注:职谷智享）

03-09

1124

Kubernetes 安全和身份验证是确保集群和应用安全的关键。今天将深入探讨 Service Account、身份验证和RBAC的关键概念和实践，帮助您构建安全可靠的应用。今天本文将着重于安全相关的内容，并提供更详细的示例和配置说明，帮助兄弟们更深入地理解和应用 Kubernetes 安全和身份验证机制。

K8s提权之RBAC权限滥用

weixin_40418457的博客

06-21

863

本文首发于火线Zone：https://zone.huoxian.cn/?sort=newest 作者：今天R了吗在K8s中RBAC是常用的授权模式，如果在配置RBAC时分配了“过大”资源对象访问权限可导致权限滥用来提权，以至于攻击者扩大战果，渗透集群。如下是一些RBAC相关的笔记。 k8s的RBAC RBAC - 基于角色的访问控制。 RBAC使用rbac.authorization.k8s.io API Group 来实现授权决策，允许管理员通过 Kubernetes API 动态配置策略，要启用R

Kubernetes认证考试CKS主要知识点介绍

专注于数据库技术分享，包含但不限于Oracle，MySQL，PostgreSQL，ElasticSearch及国产数据库等

04-22

1139

CKS (Certified Kubernetes Security Specialist) 是由 Cloud Native Computing Foundation (CNCF) 提供的一项专注于 Kubernetes 安全领域的专业认证。该认证旨在验证考生在设计、实施和维护安全的 Kubernetes 集群方面的能力。

2021 CKS考试大纲：服务账户权限限制与Kubernetes安全实践

最后，更新`backend-pod.yml`文件，设置`serviceAccountName`为`backend-sa`，并强制应用更新。问题Q2提到了CKS实践考试的第二部分，可能是一个在线实验室练习，链接指向了学习平台上的一个课程，这个课程可能是...

Kubernetes 安全专家（CKS）必过心得

wolaisongfendi的博客

08-29

3062

Kubernetes 认证安全专家 (CKS) 计划由云原生计算基金会 (CNCF) 与 Linux 基金会合作创建，旨在帮助开发 Kubernetes 生态系统。本分分享了CKS认证考试的通过新的，包括了注意事项以、备考方法、练习和一些真题分析。祝各位考试顺利通过！......

CKS v1.24考试指南：K8S安全策略与权限管理

这些练习题覆盖了K8S中的关键安全概念，包括ServiceAccount的管理和Role/RoleBinding的权限控制，这些都是CKS考试的重点。考生需要熟练掌握如何在不同命名空间中创建、编辑和绑定这些对象，以及如何根据安全策略调整...

详解 ServiceAccount -- k8s的服务账号是如何工作的？

千里之行

12-17

8917

Kubernetes 的 Service Account 是如何工作的

二十四、K8s集群强化2-授权

tushanpeipei的博客

12-13

3692

K8s管理用户授权

循序渐进kubernetes-一文讲透token

最新发布

weixin_43230594的博客

01-22

1167

为支持向 Time Bound Token（时间限制令牌）的逐步过渡，Kubernetes 提供了在 Kube API Server 中设置参数 --service-account-extend-token-expiration=true 的选项。失败的原因是，在文件 role.yaml 中，配置指定了 cluster-role-token-requester-blog 只能为服务账户生成token，无法查看 Pods。顾名思义，Long-Lived Token（长生命周期令牌）是指永不过期的令牌。

用Regula和Open Policy Agent保护Kubernetes pod的安全

超级码力

03-30

397

客串文章，最初发表在Fugue的博客上，作者是Becki Lee Fugue最近在Regula中发布了对Kubernetes的支持，Regula是我们用于检查基础设施即代码的开源策略引擎。Regula不仅可以检查你的Terraform和CloudFormation文件的安全和合规性，现在还可以检查Kubernetes的YAML清单! 在这篇博文中，我们将演示如何在Kubernetes清单上运行R...

K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法

weixin_42896216的博客

03-16

943

K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法

【K8S认证】2023年CKS考题-ServiceAccount（解析+答案）

u014481728的博客

10-24

2676

【K8S认证】2023年CKS考题-ServiceAccount（解析+答案）

2024 CKS 题库 | 2、Pod指定ServiceAccount

aifeier的博客

02-03

1099

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/#使用默认的服务账户访问-api-服务器。中指定的Pod由于ServiceAccount指定错误而无法调度。过滤已经在用的 SA。

关于Kubernetes中Service Account的一些笔记:Pod内部如何访问K8s集群

山河已无恙

04-27

1920

真正的坚持归于平静，靠的是温和的发力，而不是时时刻刻的刺激。

CKAD备战笔记（2）- 配置

chuuuing的博客

07-08

1166

CKAD备战第二篇 - 配置，包括环境变量，ConfigMaps，Secret，ServiceAccount，Taint和Toleration等