【k8s】用户和服务账户联系(user、serviceaccount、sa)

云川之下2025-01-12 20:08

文章目录

相关文章:
【k8s】serviceAccount、role、RoleBinding入门示例
【k8s】pod和serviceaccount关系
【k8s】用户和服务账户联系(user、serviceaccount、sa)
【k8s】--as=system:serviceaccount:demo-rbac:demo-user模拟某组件的某sa

概述

在 Kubernetes 和 OpenShift 中,用户和服务账户是两种不同的概念,用于控制权限和访问资源:

用户(User)

  1. 定义:

    用户是集群外部的实体,代表人或应用程序,通过 API 或命令行与 Kubernetes 集群进行交互。

  2. 来源:

    用户由集群管理员创建,可以是一个真实用户(如开发人员)或一个外部系统(如 CI/CD 工具)。它们是集群外部的身份,没有自动与 Pod 关联。

  3. 使用场景:

    • 用户通过工具(如 kubectloc)或 API 调用创建、管理资源(如 Pod、Deployment)。
    • 用户需要认证才能访问集群,通常通过以下方式认证:
      • 证书(x509 证书)
      • OAuth Token(在 OpenShift 中常用)
      • 服务提供的身份认证(如 OIDC 或 LDAP)
    • 用户权限通过 RoleClusterRoleRoleBindingClusterRoleBinding 授予。

  4. 与 Pod 的关系:

    用户本身不会直接运行 Pod,但可以通过创建资源(如 Deployment、Pod、Job 等)间接控制 Pod 的行为。Pod 的权限最终由 ServiceAccount 决定,而不是用户。

服务账户(ServiceAccount)

  1. 定义:

    服务账户是 Kubernetes 内部的一种身份,用于 Pod 和其他控制器(如 Deployment、Job)与 Kubernetes API 交互。

  2. 来源:

    每个 Pod 都必须关联一个服务账户:

    • 如果未显式指定服务账户,系统会自动使用命名空间中的默认服务账户(default)。
    • 你也可以创建自定义服务账户并为其分配特定权限。

  3. 作用:

    • 服务账户是 Kubernetes 集群内部的身份,用于 Pod 或控制器与 API 交互(例如获取 ConfigMap、Secret 或更新资源状态)。
    • 每个服务账户都有一个关联的令牌,挂载到 Pod 中,供应用程序访问 Kubernetes API。

  4. 与 Pod 的关系:

    • 服务账户直接与 Pod 绑定。
    • Pod 的运行时权限和安全上下文由绑定的服务账户和分配的 SCC 决定。
用户与服务账户的区别
属性 用户(User) 服务账户(ServiceAccount)
作用范围 外部用户与 Kubernetes 交互 Pod 或控制器内部与 Kubernetes 交互
身份来源 通过认证系统(如证书、Token、OIDC 等) Kubernetes 内部自动创建或手动创建
使用对象 人类用户、外部应用程序 Pod 或控制器(如 Deployment、CronJob)
权限管理 通过 Role/ClusterRole 授予权限 通过 Role/ClusterRole 和 SCC 授予权限
与 Pod 的关系 间接关系,通过 API 操作 Pod 直接关系,服务账户是 Pod 的运行身份
Pod 的身份来源:用户 vs 服务账户

1. 用户创建 Pod:

  • 用户通过 CLI 或 API 创建 Pod:

    bash 复制代码 
    oc create -f pod.yaml

  • 用户需要被授予 create pods 的权限(通过 Role/ClusterRole)。

    系统会检查用户是否有权限执行此操作

2.服务账户运行 Pod:

  • 当 Pod 被创建后,它会使用指定的 serviceAccountName。
  • 如果未指定,则使用默认的 default 服务账户。
  • 该服务账户决定了 Pod 在运行时的权限和安全上下文(指的是scc)。

总结

  • 用户是集群外部的实体,创建和管理 Kubernetes 资源。
  • 服务账户是 Kubernetes 内部的实体,用于 Pod 与集群 API 的交互。
  • SCC 是绑定到用户或服务账户的,控制用户是否可以创建特定类型的 Pod,以及 Pod 运行时是否满足安全约束。
  • Pod 的权限最终由服务账户决定,而不是直接由用户决定。
相关推荐
thulium_4 小时前
使用 Docker 部署 PostgreSQL
docker·postgresql·容器
再看扣你眼5 小时前
k8s资源管理
云原生·容器·kubernetes
江湖有缘5 小时前
【Docker项目实战】使用Docker部署Vikunja任务管理工具
docker·容器·eureka
wdxylb5 小时前
云原生俱乐部-k8s知识点归纳(1)
云原生·容器·kubernetes
koboides5 小时前
我的第一个开源项目-jenkins集成k8s项目
linux·运维·云原生·容器·kubernetes·jenkins
斯普信专业组5 小时前
Rabbitmq+STS+discovery_k8s +localpv部署排坑详解
分布式·kubernetes·rabbitmq
潮落拾贝9 小时前
k8s+isulad 网络问题
云原生·容器·kubernetes·国产化
SRETalk11 小时前
Prometheus 监控 Kubernetes Cluster 最新极简教程
kubernetes·prometheus
川石课堂软件测试16 小时前
JMeter并发测试与多进程测试
功能测试·jmeter·docker·容器·kubernetes·单元测试·prometheus
吐个泡泡v17 小时前
Docker部署MySQL完整指南:从入门到实践
mysql·docker·容器·部署
热门推荐
01UV安装并设置国内源022025最新国内服务器可用docker源仓库地址大全(2025年8月更新)03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04全球最强模型Grok4,国内已可免费使用!(附教程)05KGG转MP3工具|非KGM文件|解密音频06TRAE Rules 实践:为项目配置 6A 工作流07【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)08GPT-5 使用限制与国内升级全攻略(免费 / Plus / Pro)【2025 最新】09Cursor 终端“卡死/无响应”问题的解法10Claude Code + claude-code-router白嫖魔搭社区千问模型,开启AI编程之路