k8s-ServiceAccount 配置

安顾里2025-05-22 10:04

在 Kubernetes 中
ServiceAccount 是一种为 Pod 提供身份认证的机制,允许 Pod 以特定的身份访问 Kubernetes API 服务器。

**Role(角色)**是 Kubernetes 中定义权限的资源对象,它只能在特定的命名空间内生效。Role 用于定义一组权限规则,这些规则定义了可以对 Kubernetes 资源执行的操作。

**RoleBinding(角色绑定)**是将 Role 分配给用户、组或 ServiceAccount 的资源对象。它定义了哪些主体(用户、组或服务账号)可以使用特定的 Role。
ClusterRole(集群角色) ClusterRole 与 Role 类似,但它定义的权限规则可以在整个集群范围内生效,而不是局限于某个命名空间。
ClusterRoleBinding(集群角色绑定) ClusterRoleBinding 是将 ClusterRole 分配给用户、组或 ServiceAccount 的资源对象。它定义了哪些主体可以使用特定的 ClusterRole。

以下是 ServiceAccount 的配置方法和使用指南:
1.创建 ServiceAccount

ServiceAccount 可以通过 kubectl 命令或 YAML 文件创建。

通过命令行创建:

bash 复制代码 
kubectl create serviceaccount <service-account-name> --namespace=<namespace>

例如:

bash 复制代码 
kubectl create serviceaccount my-service-account --namespace=default

通过 YAML 文件创建:

创建一个名为 service-account.yaml 的文件,内容如下:

bash 复制代码 
apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account
  namespace: default

然后运行以下命令应用配置:

bash 复制代码 
kubectl apply -f service-account.yaml

2.为 ServiceAccount 分配权限

ServiceAccount 需要与角色(Role 或 ClusterRole)结合使用,通过 RoleBinding 或 ClusterRoleBinding 来分配权限。

创建 Role:

创建一个名为 role.yaml 的文件,定义 Role 的权限:

bash 复制代码 
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: default
  name: pod-reader
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

然后应用该 Role:

bash 复制代码 
kubectl apply -f role.yaml

创建 RoleBinding:

创建一个名为 rolebinding.yaml 的文件,将 Role 绑定到 ServiceAccount:

bash 复制代码 
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: pod-reader-binding
  namespace: default
subjects:
- kind: ServiceAccount
  name: my-service-account
  namespace: default
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io

然后应用该 RoleBinding:

bash 复制代码 
kubectl apply -f rolebinding.yaml

3.将 ServiceAccount 分配给 Pod

Pod 可以通过 spec.serviceAccountName 字段指定使用某个 ServiceAccount。

Pod 定义中指定 ServiceAccount:

bash 复制代码 
apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  serviceAccountName: my-service-account
  containers:
  - name: my-container
    image: my-image

4.配置 ServiceAccount 的 Token

ServiceAccount 的 Token 是一个自动创建的 Secret,用于 Pod 访问 Kubernetes API。

查看 ServiceAccount 的 Token:

bash 复制代码 
kubectl get secrets

或者

bash 复制代码 
kubectl describe serviceaccount my-service-account

手动创建 Token:

如果需要手动创建一个 Token,可以使用以下命令:

bash 复制代码 
kubectl create token my-service-account

5.配置 ImagePullSecrets

如果需要从私有镜像仓库拉取镜像,可以将 ImagePullSecrets 添加到 ServiceAccount。

创建 ImagePullSecrets:

bash 复制代码 
kubectl create secret docker-registry my-secret \
  --docker-server=registry.example.com \
  --docker-username=admin \
  --docker-password=pass123

将 ImagePullSecrets 添加到 ServiceAccount:

bash 复制代码 
apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account
imagePullSecrets:
- name: my-secret
相关推荐
todoitbo26 分钟前
开源一个记账软件,支持docker一键部署
运维·docker·容器·开源·springboot·记账软件·容器部署
itachi-uchiha1 小时前
Docker安装MinIO对象存储中间件
中间件·容器·minio
安顾里1 小时前
什么是endpoints?
运维·容器·kubernetes
运维小文1 小时前
fluentd采集K8S日志
云原生·容器·kubernetes·fluentd·efk
线条11 小时前
Zookeeper 集群安装与脚本化管理详解
分布式·zookeeper·云原生
好吃的肘子1 小时前
Zookeeper入门(三)
分布式·zookeeper·云原生
qq_2153978974 小时前
docker 启动一个python环境的项目
docker·容器
爱喝水的鱼丶4 小时前
SAP-ABAP:ABAP异常处理与SAP现代技术融合—— 面向云原生、微服务与低代码场景的创新实践
开发语言·低代码·微服务·云原生·sap·abap
hnlucky6 小时前
使用docker——10分钟内 完成一个高可用的 MongoDB 副本集部署
数据库·mongodb·docker·云原生·容器
热门推荐
01从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06DeepSeek各版本说明与优缺点分析07VMware虚拟机安装Win7专业版保姆级教程(附镜像包)08YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU09Coze扣子平台完整体验和实践(附国内和国际版对比)10Windows下Qt5.14.2连接华为IoTDA平台