Configure Service Accounts for Pods

服务帐户为在Pod中运行的进程提供标识。

当访问k8s集群(例如,使用kubectl)时,kube-apiserver将对用户帐户(目前通常是admin帐户)进行认证鉴权。

而当Pod内容器中的进程访问kube-apiserver时,是通过特定的服务帐户(例如,default)进行身份验证。

使用默认的服务账号访问apiserver

在创建pod时,如果没有指定服务帐户,会在pod所在名称空间中自动为它分配默认的服务帐户。

可以通过以下命令查询pod的服务账号:

$ kubectl get pod redis-0 -n ddd -o yaml|grep serviceAccountName
        f:serviceAccountName: {}
  serviceAccountName: default

您可以使用自动挂载的服务帐户凭据从pod内部访问API,如访问集群中所述。 服务帐户的API权限取决于使用的授权插件和授权策略。

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:41

results matching ""

    No results matching ""