【k8s】用户和服务账户联系(user、serviceaccount、sa)

文章目录

相关文章:
【k8s】serviceAccount、role、RoleBinding入门示例
【k8s】pod和serviceaccount关系
【k8s】用户和服务账户联系(user、serviceaccount、sa)
【k8s】--as=system:serviceaccount:demo-rbac:demo-user模拟某组件的某sa

概述

在 Kubernetes 和 OpenShift 中,用户和服务账户是两种不同的概念,用于控制权限和访问资源:

用户(User)
  1. 定义:

    用户是集群外部的实体,代表人或应用程序,通过 API 或命令行与 Kubernetes 集群进行交互。

  2. 来源:

    用户由集群管理员创建,可以是一个真实用户(如开发人员)或一个外部系统(如 CI/CD 工具)。它们是集群外部的身份,没有自动与 Pod 关联。

  3. 使用场景:

    • 用户通过工具(如 kubectloc)或 API 调用创建、管理资源(如 Pod、Deployment)。
    • 用户需要认证才能访问集群,通常通过以下方式认证:
      • 证书(x509 证书)
      • OAuth Token(在 OpenShift 中常用)
      • 服务提供的身份认证(如 OIDC 或 LDAP)
    • 用户权限通过 RoleClusterRoleRoleBindingClusterRoleBinding 授予。
  4. 与 Pod 的关系:

    用户本身不会直接运行 Pod,但可以通过创建资源(如 Deployment、Pod、Job 等)间接控制 Pod 的行为。Pod 的权限最终由 ServiceAccount 决定,而不是用户。


服务账户(ServiceAccount)
  1. 定义:

    服务账户是 Kubernetes 内部的一种身份,用于 Pod 和其他控制器(如 Deployment、Job)与 Kubernetes API 交互。

  2. 来源:

    每个 Pod 都必须关联一个服务账户:

    • 如果未显式指定服务账户,系统会自动使用命名空间中的默认服务账户(default)。
    • 你也可以创建自定义服务账户并为其分配特定权限。
  3. 作用:

    • 服务账户是 Kubernetes 集群内部的身份,用于 Pod 或控制器与 API 交互(例如获取 ConfigMap、Secret 或更新资源状态)。
    • 每个服务账户都有一个关联的令牌,挂载到 Pod 中,供应用程序访问 Kubernetes API。
  4. 与 Pod 的关系:

    • 服务账户直接与 Pod 绑定。
    • Pod 的运行时权限和安全上下文由绑定的服务账户和分配的 SCC 决定。

用户与服务账户的区别
属性 用户(User) 服务账户(ServiceAccount)
作用范围 外部用户与 Kubernetes 交互 Pod 或控制器内部与 Kubernetes 交互
身份来源 通过认证系统(如证书、Token、OIDC 等) Kubernetes 内部自动创建或手动创建
使用对象 人类用户、外部应用程序 Pod 或控制器(如 Deployment、CronJob)
权限管理 通过 Role/ClusterRole 授予权限 通过 Role/ClusterRole 和 SCC 授予权限
与 Pod 的关系 间接关系,通过 API 操作 Pod 直接关系,服务账户是 Pod 的运行身份


Pod 的身份来源:用户 vs 服务账户

1. 用户创建 Pod:

  • 用户通过 CLI 或 API 创建 Pod:

    bash 复制代码
    oc create -f pod.yaml
  • 用户需要被授予 create pods 的权限(通过 Role/ClusterRole)。

    系统会检查用户是否有权限执行此操作

2.服务账户运行 Pod:

  • 当 Pod 被创建后,它会使用指定的 serviceAccountName。
  • 如果未指定,则使用默认的 default 服务账户。
  • 该服务账户决定了 Pod 在运行时的权限和安全上下文(指的是scc)。

总结

  • 用户是集群外部的实体,创建和管理 Kubernetes 资源。
  • 服务账户是 Kubernetes 内部的实体,用于 Pod 与集群 API 的交互。
  • SCC 是绑定到用户或服务账户的,控制用户是否可以创建特定类型的 Pod,以及 Pod 运行时是否满足安全约束。
  • Pod 的权限最终由服务账户决定,而不是直接由用户决定。
相关推荐
大咖分享课18 分钟前
系统越拆越乱?你可能误解了微服务的本质!
微服务·云原生·架构
2418ly1 小时前
docker常用命令
运维·docker·容器
明月(Alioo)1 小时前
机器学习入门,用Lima在macOS免费搭建Docker环境,彻底解决镜像与收费难题!
macos·docker·容器
水上冰石3 小时前
k8s证书理论知识之/etc/kubernetes/pki/ 和/var/lib/kubelet/pki/的区别
云原生·容器·kubernetes·数字证书·证书过期
Nazi63 小时前
sealos部署k8s
运维·kubernetes·k8s
To_再飞行3 小时前
K8s访问控制(一)
云原生·容器·kubernetes
虚伪的空想家3 小时前
K8S的Pod为什么可以解析访问集群之外的域名地址
云原生·容器·kubernetes·dns·域名解析·pod·coredns
❀͜͡傀儡师3 小时前
二进制安装Kubernetes(k8s)v1.34.0
云原生·容器·kubernetes
Zs05093 小时前
k8s基础练习环境搭建
云原生·容器·kubernetes
栗子~~3 小时前
Kubernetes(k8s) po 配置持久化挂载(nfs)
云原生·容器·kubernetes