k8s之ServiceAccount详解

最新推荐文章于 2025-05-02 17:02:35 发布
最新推荐文章于 2025-05-02 17:02:35 发布
阅读量1.2k 收藏 16
点赞数 25
CC 4.0 BY-SA版权
分类专栏: # k8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/woshihlf/article/details/147460348

Kubernetes ServiceAccount 详解

1. ServiceAccount 基本概念

ServiceAccount(服务账户)是 Kubernetes 中用于为工作负载(如 Pod)提供身份认证的机制,它代表了应用程序或服务的身份,而不是个人用户的身份。

1.1 ServiceAccount 的主要作用

  • 为 Pod 中运行的进程提供身份标识
  • 控制对 Kubernetes API 的访问权限
  • 管理与外部系统集成时的身份认证
  • 实现 Pod 间的安全通信

1.2 与 UserAccount 的区别

特性ServiceAccountUserAccount
用途集群内部工作负载身份集群外部用户身份
创建位置集群内部集群外部(由外部IDP管理)
命名空间属于特定命名空间集群全局
前缀自动添加 system:serviceaccount:无特定前缀
典型使用者Pod中的应用程序人类用户或外部服务

2. ServiceAccount 的 YAML 结构

基本 ServiceAccount 定义示例:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-serviceaccount
  namespace: default
  annotations:
    example.com/description: "Service account for XYZ service"
automountServiceAccountToken: true
secrets:
- name: my-serviceaccount-token-xyz12
imagePullSecrets:
- name: my-registry-key

2.1 关键字段说明

  1. metadata:

    • name: ServiceAccount 名称
    • namespace: 所属命名空间
    • annotations: 可添加自定义注解

  2. automountServiceAccountToken:

    • 布尔值,控制是否自动挂载 API 访问令牌
    • 默认值在 kube-apiserver 的 --service-account-default-token 参数中设置

  3. secrets:

    • 关联的 Secret 对象列表
    • 通常包含访问令牌

  4. imagePullSecrets:

    • 用于拉取私有镜像的 Secret 引用

3. ServiceAccount 与相关资源的联系

3.1 与 Pod 的关系

  • 每个 Pod 都与一个 ServiceAccount 关联
  • 如果没有显式指定,Pod 使用所在命名空间的默认 ServiceAccount (default)
  • Pod 规格中指定 ServiceAccount:
apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  serviceAccountName: my-serviceaccount
  containers:
  - name: main
    image: my-image

3.2 与 Secret 的关系

  • 每个 ServiceAccount 通常有一个关联的 Secret
  • Secret 包含以下关键信息:
    • ca.crt: 集群的 CA 证书
    • namespace: Pod 所在的命名空间
    • token: 用于认证的 Bearer token
  • 自动生成的 Secret 命名格式: <serviceaccount-name>-token-<random-suffix>

3.3 与 RBAC 的关系

  • 通过 RoleBinding/ClusterRoleBinding 将权限授予 ServiceAccount
  • 示例 RoleBinding:
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-reader-binding
  namespace: default
subjects:
- kind: ServiceAccount
  name: my-serviceaccount
  namespace: default
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

3.4 与 API Server 的关系

  • API Server 验证 ServiceAccount token
  • 认证流程:
    1. Pod 使用挂载的 token 向 API Server 发起请求
    2. API Server 验证 token 的有效性
    3. API Server 检查关联的 RBAC 规则

3.5 与 Admission Controllers 的关系

  • ServiceAccount 准入控制器负责:
    • 为新建的 Pod 设置默认 ServiceAccount
    • 确保引用的 ServiceAccount 存在
    • 自动挂载 ServiceAccount token
  • TokenRequest 准入控制器处理 token 的创建和更新

4. ServiceAccount 的生命周期

4.1 创建

kubectl create serviceaccount my-sa
# 或通过 YAML 文件
kubectl apply -f sa.yaml

4.2 令牌管理

  • 自动创建: Kubernetes 1.24+ 使用 TokenRequest API 动态生成令牌
  • 手动创建: 可以创建 Secret 并关联到 ServiceAccount

4.3 更新

kubectl patch serviceaccount my-sa -p '{"imagePullSecrets": [{"name": "new-secret"}]}'

4.4 删除

kubectl delete serviceaccount my-sa

5. ServiceAccount 的使用场景

5.1 Pod 访问 Kubernetes API

apiVersion: v1
kind: Pod
metadata:
  name: api-client-pod
spec:
  serviceAccountName: api-client
  containers:
  - name: main
    image: api-client-image
    volumeMounts:
    - name: token-volume
      mountPath: "/var/run/secrets/kubernetes.io/serviceaccount"
      readOnly: true
  volumes:
  - name: token-volume
    projected:
      sources:
      - serviceAccountToken:
          path: token
          expirationSeconds: 3600
          audience: api

5.2 跨命名空间访问

# 在命名空间A中创建ServiceAccount
apiVersion: v1
kind: ServiceAccount
metadata:
  name: cross-ns-sa
  namespace: namespace-a

# 在命名空间B中创建RoleBinding引用该SA
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: allow-cross-ns-access
  namespace: namespace-b
subjects:
- kind: ServiceAccount
  name: cross-ns-sa
  namespace: namespace-a
roleRef:
  kind: Role
  name: namespace-b-reader
  apiGroup: rbac.authorization.k8s.io

5.3 私有镜像仓库认证

apiVersion: v1
kind: ServiceAccount
metadata:
  name: private-registry-user
imagePullSecrets:
- name: registry-credentials

6. 高级主题

6.1 TokenRequest API (Kubernetes 1.20+)

  • 更安全的动态令牌机制
  • 令牌具有有限的生命周期
  • 可以绑定到特定 Pod 或特定用途
apiVersion: v1
kind: Pod
metadata:
  name: token-request-pod
spec:
  containers:
  - name: main
    image: my-image
    volumeMounts:
    - name: token-volume
      mountPath: "/var/run/secrets/tokens"
  volumes:
  - name: token-volume
    projected:
      sources:
      - serviceAccountToken:
          path: token
          expirationSeconds: 600
          audience: "vault"

6.2 BoundServiceAccountTokenVolume

  • Kubernetes 1.21+ 默认启用
  • 提供更安全的令牌卷挂载方式
  • 令牌自动轮换且与 Pod 生命周期绑定

6.3 ServiceAccount Issuer Discovery

  • 允许外部系统验证 ServiceAccount token
  • 配置 API Server 参数:
    --service-account-issuer=https://kubernetes.default.svc
--service-account-jwks-uri=https://kubernetes.default.svc/openid/v1/jwks
--service-account-signing-key-file=/path/to/key

7. 安全最佳实践

  1. 最小权限原则:

    • 只授予必要的 RBAC 权限
    • 定期审计 ServiceAccount 的权限

  2. 令牌管理:

    • 使用 TokenRequest API 而非静态令牌
    • 设置适当的 expirationSeconds
    • 限制令牌的 audience

  3. Pod 配置:

    • 避免使用默认 ServiceAccount
    • 设置 automountServiceAccountToken: false 当不需要 API 访问时

  4. 网络策略:

    • 结合 NetworkPolicy 限制 Pod 的网络访问
    • 限制对 API Server 的访问

  5. 监控与审计:

    • 监控异常 API 访问
    • 定期轮换凭证

8. 常见问题排查

8.1 权限不足错误

# 检查 ServiceAccount 的权限
kubectl auth can-i <verb> <resource> --as=system:serviceaccount:<namespace>:<sa-name>

# 检查关联的 Role/RoleBinding
kubectl get rolebindings,clusterrolebindings --all-namespaces | grep <sa-name>

8.2 令牌挂载问题

# 检查 Pod 是否挂载了 token
kubectl exec <pod-name> -- ls /var/run/secrets/kubernetes.io/serviceaccount

# 检查 ServiceAccount 配置
kubectl get serviceaccount <sa-name> -o yaml

8.3 镜像拉取失败

# 检查 imagePullSecrets 是否正确关联
kubectl get serviceaccount <sa-name> -o jsonpath='{.imagePullSecrets}'

# 检查 Secret 是否存在且有效
kubectl get secret <secret-name> -o yaml

9. 实际示例

9.1 创建受限的 ServiceAccount

  1. 创建 ServiceAccount:
kubectl create serviceaccount restricted-sa
  1. 创建 Role:
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-viewer
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list", "watch"]
  1. 创建 RoleBinding:
kubectl create rolebinding restricted-sa-binding \
  --role=pod-viewer \
  --serviceaccount=default:restricted-sa \
  --namespace=default
  1. 测试 Pod:
apiVersion: v1
kind: Pod
metadata:
  name: test-pod
spec:
  serviceAccountName: restricted-sa
  containers:
  - name: test
    image: alpine
    command: ["sh", "-c", "sleep 3600"]

9.2 使用 ServiceAccount 访问 API

from kubernetes import client, config

# 自动加载 Pod 内的 ServiceAccount 凭证
config.load_incluster_config()

v1 = client.CoreV1Api()
print("Listing pods:")
ret = v1.list_namespaced_pod(namespace="default")
for i in ret.items:
    print(f"{i.metadata.name}")

10. 总结

ServiceAccount 是 Kubernetes 安全模型的核心组件,它:

  1. 为工作负载提供身份标识
  2. 通过 RBAC 实现精细的访问控制
  3. 支持安全的服务间通信
  4. 管理外部资源访问凭证

合理使用 ServiceAccount 可以:

  • 实现最小权限原则
  • 隔离不同工作负载
  • 提供可审计的服务身份
  • 增强集群整体安全性

理解 ServiceAccount 与 Pod、Secret、RBAC 等组件的关系,对于设计安全的 Kubernetes 架构至关重要。随着 Kubernetes 的发展,ServiceAccount 机制也在不断改进,如 TokenRequest API 的引入,使得身份管理更加安全和灵活。

K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 5341
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产中使用功能可能不便于排查故障。二进制方式部署的k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
K8s(三):Namespace详解
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
01-02 3万+
🔴 K8s(三):Namespace详解
K8S学习指南(36)-k8s权限管理对象ServiceAcount
俞兆鹏的博客
12-24 1340
通过本文,我们深入了解了Kubernetes中权限管理对象ServiceAccount的基本概念、使用方法,并通过详细的示例演示了如何创建ServiceAccount,并将其与Pod关联,以实现身份验证。在示例中,我们将创建一个ServiceAccount,并将其关联到一个简单的Pod,演示Pod如何使用ServiceAccount提供的令牌进行身份验证。上述步骤演示了如何创建ServiceAccount,并将其与Pod关联,以便在Pod中获取ServiceAccount提供的令牌进行身份验证。
云原生ServiceAccount程序用户详解
weixin_73059729的博客
08-19 1268
Kubernetes提供两种完全不同的方式来为客户端提供支持,这些客户端可能运行在你的集群中,也能与你的集群的控制平面有关,需要向API(提供Kubernetes API服务的控制平缅组件),服务器完成身份认证。服务账号(Service Account)为Pod中运行的进程提供身份标识,并映射到ServiceAccount对象。当你向API服务器执行身份认证时,你会讲自己标识为某个用户(User)。Kubernetes能够识别用户的概念,但是Kubernetes自身并不提供User API。
Kubernetes 中 User Account 与 Service Account 全面讲解
最新发布
weixin_43991457的博客
05-02 556
经验点说明1. 不建议直接用 default ServiceAccount容易出现过大权限问题,建议每个应用自己定义专属 ServiceAccount。2. User Account 统一接入 OIDC/LDAP方便企业内部统一认证管理,避免分散管理账号。3. CI/CD集成要用专用的 ServiceAccount 或 UserAccount并且做到最小权限化(比如只允许 apply Deployment,不能删Namespace)。4. ServiceAccount token 轮换。
k8sServiceAccount
weixin_37337210的博客
01-17 1万+
导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现
K8S ServiceAccount
summer_fish的专栏
08-07 2298
一、ServiceAccount通常被用于授权Pod与集群中的其他资源和服务进行通信,以及访问一些需要权限的操作。ServiceAccount为Pod提供了一个身份,使得Pod能够与Kubernetes API进行交互。Kubernetes API会根据ServiceAccount的身份进行授权判断。通过ServiceAccountKubernetes管理员可以对Pod进行权限控制,限制它们能够访问的资源和操作,从而增强集群的安全性。
K8s中Service Account和RBAC
l1727377的博客
12-16 3505
①.ServiceAccount(服务账户)是Kubernetes集群中的一种资源对象,用于为Pod或其他资源提供身份验证和授权,以便它们能够与Kubernetes API进行交互。②.ServiceAccountKubernetes中用于管理Pod身份验证和授权的重要资源,它使得Pod能够在集群中具有独立的身份,从而实现更精细的权限控制和安全策略。③. Service Account它并不是给kubernetes集群的用户使用的,而是给pod里面的进程使用的,它为pod提供必要的身份认证。
k8s创建服务账号——Service Account
码农崛起
08-20 1万+
http://docs.kubernetes.org.cn/84.html Service Account(服务账号):是指由Kubernetes API 管理的账号,用于为Pod 之中的服务进程在访问Kubernetes API时提供身份标识( identity ) 。Service Account通常要绑定于特定的命名空间,它们由 API Server 创建,或者通过 API 调用于动创建 ,附带着一组存储为Secret的用于访问API Server的凭据。 User Accounts 与 Serv
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 9024
Kubernetes 的 Service Account 是如何工作的
Kubernetes K8S之存储Secret详解
踏歌行的专栏
09-28 7656
K8S之存储Secret概述与类型说明,并详解常用Secret示例
阿里Kubernetesk8s详解
09-02
阿里Kubernetesk8s详解 Kubernetes(简称k8s)是由Google开源的一款容器编排系统,现由CNCF(Cloud Native Computing Foundation)维护。阿里云作为国内领先的云计算服务提供商,深度参与了Kubernetes的发展,...
K8s(六):网络插件之Calico安装与详解
热门推荐
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
04-02 3万+
🔴 K8s(六):网络插件之Calico安装与详解
k8s之service account
fengcai_ke的博客
07-11 3784
k8s service account分析
K8s之RBAC模型
s1056481432的博客
03-16 289
RBAC模型(Role-Based Access Control:基于角色的访问控制),k8s集群中的身份有两种:用户(User)和服务账号(Service Account),其中service account是k8s为pod内部的进程访问apiserver创建的一种用户。我们可以通过sa中的token与apierver进行通信,也可以基于用户的kubeconfig与apierver进行通信。
ServiceAccount
weixin_44524077的博客
11-27 737
Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认证机制,具体请参见认证与ServiceAccount。 Authorization:用于控制用户对资源访问的授权,对访问的授权目前主要使用RBAC机制,将在RBAC介绍。 图1 API Server的认证授权 认证与ServiceAccount Kuber
k8s的认证和service account简述
weixin_30608131的博客
05-21 443
k8s的认证: 与API server通信的客户端大致有两类: 1.集群客户端工具(kubectl、kubeadm、kubelet等) 2.集群内pod. 任何客户端访问k8s时的过程: 1.认证:任何客户端访问k8s,首先需要通过k8s的认证;认证通过是说明所用账号只是k8s的合法用户; 2.授权:认证通过后,是否具有对k8s集群中资源的操作,需要k8s对其进行授权检查; 3.准入...
k8s系列之十三Service Account和RBAC授权
ByteX的博客
02-05 1656
首先Kubernetes中账户区分为:User Accounts(用户账户) 和 Service Accounts(服务账户) 两种,它们的设计及用途如下:UserAccount是给kubernetes集群外部用户使用的,例如运维或者集群管理人员,使用kubectl命令时用的就是UserAccount账户。UserAccount是全局性,在集群所有namespaces中,名称具有唯一性,默认情况下用户为admin;用户名称可以在kubeconfig中查看。
Kubernetes_认证授权_ServiceAccount_服务账号全解析
毛毛的专栏
10-23 2452
梳理出ServiceAccount服务账号一条线
详解 k8s servicecount
03-09
<think>好的,我现在需要详细解释 Kubernetes 中的 ServiceAccount。首先,我得确认自己对ServiceAccount的理解是否正确。ServiceAccountKubernetes中用来为Pod中的进程提供身份识别的机制,这样它们可以与API服务器进行安全通信。对吧? 接下来,我应该回忆一下ServiceAccount的基本概念。每个命名空间都有一个默认的ServiceAccount,叫做default。当创建Pod时,如果没有指定ServiceAccount,就会自动使用这个default。ServiceAccount通过关联的Secret来存储凭证,比如令牌,这样Pod可以用这个令牌来访问API。 然后,可能需要解释ServiceAccount的作用。比如,Pod需要访问Kubernetes API时,比如获取其他Pod的信息或者创建资源,这时候就需要一个身份。ServiceAccount提供了这个身份,并且通过RBAC(Role-Based Access Control)来授权,确保只有特定的操作被允许。 接下来,可能需要详细说明如何创建和使用ServiceAccount。比如,使用kubectl create serviceaccount命令创建一个新的ServiceAccount,然后如何在Pod的YAML文件中指定serviceAccountName字段。同时,需要提到关联的Secret,包括ca.crt、namespace和token这三个关键信息。 然后,应该讨论ServiceAccount与RBAC的关系。比如,如何创建Role或ClusterRole,然后通过RoleBinding或ClusterRoleBinding将权限绑定到ServiceAccount。这样,Pod使用该ServiceAccount时,就拥有了相应的权限。 此外,可能需要提到一些实际应用场景。比如,运行CI/CD管道中的Pod需要部署应用,这时候可以创建一个有部署权限的ServiceAccount;或者监控系统的Pod需要读取集群资源信息,也需要相应的ServiceAccount。 还有,需要注意一些细节,比如每个ServiceAccount自动生成的Secret,以及如何挂载到Pod的/var/run/secrets/kubernetes.io/serviceaccount目录下。Pod中的进程可以通过读取这个目录下的文件来获取认证信息。 不过,我可能记不太清楚ServiceAccount的Secret是自动创建还是需要手动关联。比如,当创建ServiceAccount时,Kubernetes是否会默认生成一个对应的Secret,或者是否需要用户显式创建?可能需要查阅资料确认这一点。根据Kubernetes的文档,从v1.24开始,ServiceAccount不再自动生成Secret,而是使用TokenRequest API动态生成令牌,但为了兼容性,仍然可以通过手动创建Secret来关联。不过,这可能因版本不同而异,需要说明这一点可能存在的变化。 另外,要提到使用ServiceAccount时需要注意的安全最佳实践,比如遵循最小权限原则,避免使用过高权限的ServiceAccount,定期轮换令牌等。 可能还需要比较ServiceAccount和User Account的区别。User Account是给人类用户使用的,而ServiceAccount是给Pod等非人类实体使用的。两者的身份管理方式不同,User Account通常由外部系统管理,而ServiceAccountKubernetes内部管理。 总结结构的话,应该先定义ServiceAccount,然后讲其作用,如何创建和使用,与RBAC的关联,实际用例,注意事项,以及常见问题等。这样用户能够逐步理解。 现在需要检查是否有遗漏的点,比如ServiceAccount的令牌是如何被Pod使用的,自动挂载的机制,或者如何禁用自动挂载。例如,可以在Pod规范中设置automountServiceAccountToken: false来禁止自动挂载默认的ServiceAccount令牌,增强安全性。 另外,可能要考虑ServiceAccount在不同命名空间中的隔离性,每个命名空间的ServiceAccount是独立的,RoleBinding的作用范围是否在命名空间内还是集群级别,这涉及到ClusterRole和Role的区别。 还有,可能需要提到ImagePullSecrets,ServiceAccount可以附加ImagePullSecrets,这样Pod在拉取镜像时可以使用这些Secret,而不需要在每个Pod中单独指定。 最后,确保使用正确的格式,行内公式用$...$,独立公式用$$...$$,但在这个主题中可能数学公式较少,但如果有涉及示例代码或YAML片段,需要用合适的代码块格式,不过用户的问题中没有提到代码格式,可能不需要。但需要确保中文回答结构清晰,分点说明。</think>在 Kubernetes 中,**ServiceAccount** 是为集群内运行的进程(如 Pod)提供身份认证和权限管理的核心对象。以下是详细解析: --- ### 1. **ServiceAccount 的定义与作用** - **身份标识**:ServiceAccount 为 Pod 中的进程赋予身份,使其能够与 Kubernetes API 服务器安全通信。 - **权限控制**:结合 RBAC(基于角色的访问控制),ServiceAccount 定义 Pod 可执行的操作(如读取、创建资源)。 - **默认配置**:每个命名空间自动生成名为 `default` 的 ServiceAccount;若 Pod 未显式指定,则默认使用此账户。 --- ### 2. **核心工作机制** #### (1)凭证挂载 - 每个 ServiceAccount 关联一个 **Secret**,其中包含: - **令牌(Token)**:用于身份验证的 JWT 令牌。 - **CA 证书(ca.crt)**:验证 API 服务器的证书。 - **命名空间文件(namespace)**:标识当前命名空间。 - 这些凭证自动挂载到 Pod 的目录: ```plaintext /var/run/secrets/kubernetes.io/serviceaccount ``` #### (2)与 API 服务器通信 Pod 通过以下方式访问 API: ```bash # 从挂载目录读取令牌和 CA 证书 TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token) CA_CERT=/var/run/secrets/kubernetes.io/serviceaccount/ca.crt # 调用 API 服务器 curl --cacert $CA_CERT -H "Authorization: Bearer $TOKEN" https://kubernetes/api/v1/pods ``` --- ### 3. **创建与使用 ServiceAccount** #### (1)手动创建 ```yaml # 创建 ServiceAccount apiVersion: v1 kind: ServiceAccount metadata: name: my-serviceaccount ``` #### (2)在 Pod 中指定 ```yaml apiVersion: v1 kind: Pod metadata: name: my-pod spec: serviceAccountName: my-serviceaccount # 指定使用的 ServiceAccount containers: - name: my-container image: nginx ``` --- ### 4. **与 RBAC 的关联** ServiceAccount 需通过 RBAC 绑定权限: 1. **定义角色**(Role/ClusterRole): ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: default name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] ``` 2. **绑定角色**(RoleBinding/ClusterRoleBinding): ```yaml apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: read-pods namespace: default subjects: - kind: ServiceAccount name: my-serviceaccount namespace: default roleRef: kind: Role name: pod-reader apiGroup: rbac.authorization.k8s.io ``` --- ### 5. **实际应用场景** - **CI/CD 流水线**:为部署 Pod 分配具有创建资源权限的 ServiceAccount。 - **监控系统**:授予 Prometheus Pod 读取集群资源的权限。 - **自定义控制器**:允许控制器监听和修改特定资源。 --- ### 6. **安全最佳实践** - **最小权限原则**:仅授予必要的权限。 - **禁用默认令牌挂载**:在 Pod 中设置 `automountServiceAccountToken: false`。 - **定期轮换令牌**:Kubernetes 从 v1.24 起默认使用短期令牌(通过 TokenRequest API 动态生成)。 --- ### 7. **常见问题** #### (1)ServiceAccount vs. User Account | **特征** | **ServiceAccount** | **User Account** | |-------------------------|-----------------------------|---------------------------| | 使用者 | Pod、内部进程 | 人类用户 | | 管理方式 | Kubernetes 自动创建 | 外部系统(如 LDAP) | | 命名空间隔离 | 是 | 否(通常全局) | #### (2)令牌管理变更 - **v1.24+**:ServiceAccount 不再自动生成长期有效的 Secret,需通过 `kubectl create token` 手动创建短期令牌。 --- ### 总结 ServiceAccountKubernetes 安全架构的核心组件,通过身份认证和细粒度权限控制,确保集群内进程仅能执行授权操作。合理使用 RBAC 与 ServiceAccount 可显著提升集群安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值