k8s RBAC-(认证) ServiceAccount与User Kubernetes集群中所有资源的访问和变更都是通过Kubernetes API Server的REST API来实现的,所以集群安全的关键点就在于如何识别并认证客户端身份(Authentication),以及随后访问权限的授权(Authorization)这两个关键问题,本节对认证管理进行说明。 我们知道,Kubernetes集群提供了3种级别的...
简而言之,用户账户user account 用于远程登录我们kubernetes系统,服务账户service account(简称sa)让特定的应用程序或容器具有操作k8s某个资源的权限。 查看sa账号,可以看到有一个default账号。 [root@k8scloude1 safe]# kubectl get saNAME SECRETS AGE default12d4h 查看default的描述信息。 [root@k8scloude1 safe]#...
在k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户的作用如下。 server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。 user:k8s的管理人员使用的账户,也就是我们使用的账户。
(1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace (3)User账号是与后端的用户数据库同步的,创建一个新用户通常要走一套复杂的业务流程才能实现,Service Account的创建则需要极轻量级的实现方式,集群管理员可以很容易地为...
Service account是为了方便Pod里面的进程调用Kubernetes API或其他外部服务而设计的。它与User account不同 1.User account是为人设计的,而service account则是为Pod中的进程调用Kubernetes API而设计; 2.User account是跨namespace的,而service account则是仅局限它所在的namespace; ...
apiVersion :user.openshift.io/v1说明此资源是有 openshift 提供的,非 k8s 的资源(k8s 的资源一般都是 v1 这种没有带域名的 ),下面是 ServiceAccount 的 yaml 描述。 kind:ServiceAccountapiVersion:v1metadata:name:defaultnamespace:nfs-external-provisioneruid:89513e6c-fde3-4bed-aa16-c14cee0e5b49resou...
- 真实用户User (k8s不维护相关资源类型,用户和所属用户组全部由外部系统管控) - 访问k8s的服务ServiceAccount (k8s可创建并维护) (其中ServiceAccount默认也是一种用户。作为User使用时名称为 system:serviceaccount:<ServiceAccountName>,所属用户组为 system:serviceaccount:<NamespaceName> ) ...
(1)面向的对象不同。useraccount给用户用,我们使用kubectl时用的就是userAccount。 Service Account是给Pod里的进程使用的。Pod容器的进程需要访问API Server时用的就是ServiceAccount账户 (2)useraccount是全局性的,在集群所有namespaces中,名称具有唯一性。用户名称可以在kubeconfig中查看。
k8s之ServiceAccount 导读 上一篇说了k8s的RBAC授权模式,今天就来简单看一下其中涉及到的ServiceAccount。 简介 k8s创建两套独立的账号系统,原因如下: (1)User账号给用户用,Service Account是给Pod里的进程使用的,面向的对象不同 (2)User账号是全局性的,Service Account则属于某个具体的Namespace...
● userAccount:通常是给人设计使用的,并且userAccount不在k8s集群内管理 ● serviceAccount:通常是为集群内pod,外部service访问而设计的,更轻量级,更专注与实现某个任务 ● k8s账户管理,主要提供身份验证的功能,必须是k8s授权的账户,才能被允许进入集群。这里需要注意的是身份验证之后只是被允许进入集群,但是不一定有访...