【k8s】用户和服务账户联系(user、serviceaccount、sa)

云川之下2025-01-12 20:08

文章目录

相关文章:
【k8s】serviceAccount、role、RoleBinding入门示例
【k8s】pod和serviceaccount关系
【k8s】用户和服务账户联系(user、serviceaccount、sa)
【k8s】--as=system:serviceaccount:demo-rbac:demo-user模拟某组件的某sa

概述

在 Kubernetes 和 OpenShift 中,用户和服务账户是两种不同的概念,用于控制权限和访问资源:

用户(User)

  1. 定义:

    用户是集群外部的实体,代表人或应用程序,通过 API 或命令行与 Kubernetes 集群进行交互。

  2. 来源:

    用户由集群管理员创建,可以是一个真实用户(如开发人员)或一个外部系统(如 CI/CD 工具)。它们是集群外部的身份,没有自动与 Pod 关联。

  3. 使用场景:

    • 用户通过工具(如 kubectloc)或 API 调用创建、管理资源(如 Pod、Deployment)。
    • 用户需要认证才能访问集群,通常通过以下方式认证:
      • 证书(x509 证书)
      • OAuth Token(在 OpenShift 中常用)
      • 服务提供的身份认证(如 OIDC 或 LDAP)
    • 用户权限通过 RoleClusterRoleRoleBindingClusterRoleBinding 授予。

  4. 与 Pod 的关系:

    用户本身不会直接运行 Pod,但可以通过创建资源(如 Deployment、Pod、Job 等)间接控制 Pod 的行为。Pod 的权限最终由 ServiceAccount 决定,而不是用户。

服务账户(ServiceAccount)

  1. 定义:

    服务账户是 Kubernetes 内部的一种身份,用于 Pod 和其他控制器(如 Deployment、Job)与 Kubernetes API 交互。

  2. 来源:

    每个 Pod 都必须关联一个服务账户:

    • 如果未显式指定服务账户,系统会自动使用命名空间中的默认服务账户(default)。
    • 你也可以创建自定义服务账户并为其分配特定权限。

  3. 作用:

    • 服务账户是 Kubernetes 集群内部的身份,用于 Pod 或控制器与 API 交互(例如获取 ConfigMap、Secret 或更新资源状态)。
    • 每个服务账户都有一个关联的令牌,挂载到 Pod 中,供应用程序访问 Kubernetes API。

  4. 与 Pod 的关系:

    • 服务账户直接与 Pod 绑定。
    • Pod 的运行时权限和安全上下文由绑定的服务账户和分配的 SCC 决定。
用户与服务账户的区别
属性 用户(User) 服务账户(ServiceAccount)
作用范围 外部用户与 Kubernetes 交互 Pod 或控制器内部与 Kubernetes 交互
身份来源 通过认证系统(如证书、Token、OIDC 等) Kubernetes 内部自动创建或手动创建
使用对象 人类用户、外部应用程序 Pod 或控制器(如 Deployment、CronJob)
权限管理 通过 Role/ClusterRole 授予权限 通过 Role/ClusterRole 和 SCC 授予权限
与 Pod 的关系 间接关系,通过 API 操作 Pod 直接关系,服务账户是 Pod 的运行身份
Pod 的身份来源:用户 vs 服务账户

1. 用户创建 Pod:

  • 用户通过 CLI 或 API 创建 Pod:

    bash 复制代码 
    oc create -f pod.yaml

  • 用户需要被授予 create pods 的权限(通过 Role/ClusterRole)。

    系统会检查用户是否有权限执行此操作

2.服务账户运行 Pod:

  • 当 Pod 被创建后,它会使用指定的 serviceAccountName。
  • 如果未指定,则使用默认的 default 服务账户。
  • 该服务账户决定了 Pod 在运行时的权限和安全上下文(指的是scc)。

总结

  • 用户是集群外部的实体,创建和管理 Kubernetes 资源。
  • 服务账户是 Kubernetes 内部的实体,用于 Pod 与集群 API 的交互。
  • SCC 是绑定到用户或服务账户的,控制用户是否可以创建特定类型的 Pod,以及 Pod 运行时是否满足安全约束。
  • Pod 的权限最终由服务账户决定,而不是直接由用户决定。
相关推荐
阿里云云原生7 小时前
AI 原生应用开发实战营·京沪双城回顾 & PPT 下载
云原生
SiriusSun_8 小时前
Windows10 wsl2 ubuntu22.04 docker安装
运维·docker·容器
muyesouu8 小时前
kubernetes 安装配置 需要有两个地方配置国内镜像地址
云原生·容器·kubernetes
阿里云云原生9 小时前
从 Transform 到 Transformer,用 EventBridge 与百炼构建实时智能的 ETL 数据管道
云原生
easy_coder11 小时前
MinIO:云原生时代的分布式对象存储从入门到精通
分布式·云原生
落日漫游12 小时前
K8s Service核心功能:稳定访问与负载均衡
docker·kubernetes·负载均衡
云计算老刘12 小时前
1. Cockpit 管理服务器;2. Linux 软件包管理
linux·运维·服务器·云原生·云计算
海域云SeaArea_12 小时前
ubuntu22.01安装NVIDIA-Docker
运维·docker·容器
oneslide17 小时前
Kubernetes V1.24+ & Docker运行时 grafana容器指标显示异常
docker·kubernetes·grafana
终端行者17 小时前
k8s各种场景下排错思路以及命令 k8s常见问题故障处理思路
云原生·容器·kubernetes
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件06BongoCat - 跨平台键盘猫动画工具07Labelme从安装到标注:零基础完整指南08智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践09《大数据技术原理与应用》实验报告三 熟悉HBase常用操作10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南