2. 程式人生 > >Kubernetes(k8s)中文文件 名詞解釋:Service Account_Kubernetes中文社群

Kubernetes(k8s)中文文件 名詞解釋:Service Account_Kubernetes中文社群

阿新 發佈:2018-12-27

Service Account

Service account是為了方便Pod裡面的程序呼叫Kubernetes API或其他外部服務而設計的。它與User account不同

  • User account是為人設計的,而service account則是為Pod中的程序呼叫Kubernetes API而設計;
  • User account是跨namespace的,而service account則是僅侷限它所在的namespace;
  • 每個namespace都會自動建立一個default service account
  • Token controller檢測service account的建立,併為它們建立
    secret
  • 開啟ServiceAccount Admission Controller後
    • 每個Pod在建立後都會自動設定spec.serviceAccount為default(除非指定了其他ServiceAccout)
    • 驗證Pod引用的service account已經存在,否則拒絕建立
    • 如果Pod沒有指定ImagePullSecrets,則把service account的ImagePullSecrets加到Pod中
    • 每個container啟動後都會掛載該service account的token和ca.crt到/var/run/secrets/kubernetes.io/serviceaccount/
$ kubectl exec nginx-3137573019-md1u2 ls /run/secrets/kubernetes.io/serviceaccount
ca.crt
namespace
token

建立Service Account

$ kubectl create serviceaccount jenkins
serviceaccount "jenkins" created
$ kubectl get serviceaccounts jenkins -o yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2017-05-27T14:32:25Z
  name: jenkins
  namespace: default
  resourceVersion: "45559"
  selfLink: /api/v1/namespaces/default/serviceaccounts/jenkins
  uid: 4d66eb4c-42e9-11e7-9860-ee7d8982865f
secrets:
- name: jenkins-token-l9v7v

自動建立的secret:

kubectl get secret jenkins-token-l9v7v -o yaml
apiVersion: v1
data:
  ca.crt: (APISERVER CA BASE64 ENCODED)
  namespace: ZGVmYXVsdA==
  token: (BEARER TOKEN BASE64 ENCODED)
kind: Secret
metadata:
  annotations:
    kubernetes.io/service-account.name: jenkins
    kubernetes.io/service-account.uid: 4d66eb4c-42e9-11e7-9860-ee7d8982865f
  creationTimestamp: 2017-05-27T14:32:25Z
  name: jenkins-token-l9v7v
  namespace: default
  resourceVersion: "45558"
  selfLink: /api/v1/namespaces/default/secrets/jenkins-token-l9v7v
  uid: 4d697992-42e9-11e7-9860-ee7d8982865f
type: kubernetes.io/service-account-token

新增ImagePullSecrets

apiVersion: v1
kind: ServiceAccount
metadata:
  creationTimestamp: 2015-08-07T22:02:39Z
  name: default
  namespace: default
  selfLink: /api/v1/namespaces/default/serviceaccounts/default
  uid: 052fb0f4-3d50-11e5-b066-42010af0d7b6
secrets:
- name: default-token-uudge
imagePullSecrets:
- name: myregistrykey

授權

Service Account為服務提供了一種方便的認證機制,但它不關心授權的問題。可以配合RBAC來為Service Account鑑權:

  • 配置–authorization-mode=RBAC和–runtime-config=rbac.authorization.k8s.io/v1alpha1
  • 配置–authorization-rbac-super-user=admin
  • 定義Role、ClusterRole、RoleBinding或ClusterRoleBinding

比如

# This role allows to read pods in the namespace "default"
kind: Role
apiVersion: rbac.authorization.k8s.io/v1alpha1
metadata:
  namespace: default
  name: pod-reader
rules:
  - apiGroups: [""] # The API group "" indicates the core API Group.
    resources: ["pods"]
    verbs: ["get", "watch", "list"]
    nonResourceURLs: []
---
# This role binding allows "default" to read pods in the namespace "default"
kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1alpha1
metadata:
  name: read-pods
  namespace: default
subjects:
  - kind: ServiceAccount # May be "User", "Group" or "ServiceAccount"
    name: default
roleRef:
  kind: Role
  name: pod-reader
  apiGroup: rbac.authorization.k8s.io
K8S中文社群微信公眾號

相關推薦

Kubernetesk8s中文 名詞解釋Service Account_Kubernetes中文社群

Service Account Service account是為了方便Pod裡面的程序呼叫Kubernetes API或其他外部服務而設計的。它與User account不同 User account是為人設計的,而service account則是為Pod中的程序呼叫Kubernetes AP

Kubernetesk8s中文 名詞解釋Resource Quotas_Kubernetes中文社群

Resource Quotas 資源配額(Resource Quotas)是用來限制使用者資源用量的一種機制。 它的工作原理為 資源配額應用在Namespace上,並且每個Namespace最多隻能有一個ResourceQuota物件 開啟計算資源配額後,建立容器時必須配置計算資源請求或限制(也可

Kubernetesk8s中文 名詞解釋Network Policy_Kubernetes中文社群

Network Policy Network Policy提供了基於策略的網路控制,用於隔離應用並減少攻擊面。它使用標籤選擇器模擬傳統的分段網路,並通過策略控制它們之間的流量以及來自外部的流量。 在使用Network Policy之前,需要注意 apiserver開啟extensions/v1be

Kubernetesk8s中文 名詞解釋PV/PVC/StorageClass_Kubernetes中文社群

介紹 PersistentVolume(PV)是叢集中已由管理員配置的一段網路儲存。 叢集中的資源就像一個節點是一個叢集資源。 PV是諸如卷之類的卷外掛,但是具有獨立於使用PV的任何單個pod的生命週期。 該API物件捕獲儲存的實現細節,即NFS,iSCSI或雲提供商特定的儲存系統。 Persist

Kubernetesk8s中文 名詞解釋DaemonSet_Kubernetes中文社群

DaemonSet DaemonSet保證在每個Node上都執行一個容器副本,常用來部署一些叢集的日誌、監控或者其他系統管理應用。典型的應用包括: 日誌收集,比如fluentd,logstash等 系統監控,比如Prometheus Node Exporter,collectd,New Relic

Kubernetesk8s中文 名詞解釋Ingress_Kubernetes中文社群

Ingress 術語 在本篇文章中你將會看到一些在其他地方被交叉使用的術語,為了防止產生歧義,我們首先來澄清下。 節點:Kubernetes叢集中的伺服器; 叢集:Kubernetes管理的一組伺服器集合; 邊界路由器:為區域網和Internet路由資料包的路由器,執行防火牆保護區域網絡; 叢集網

Kubernetesk8s中文 名詞解釋PodPreset_Kubernetes中文社群

PodPreset PodPreset用來給指定標籤的Pod注入額外的資訊,如環境變數、儲存卷等。這樣,Pod模板就不需要為每個Pod都顯式設定重複的資訊。 開啟PodPreset 開啟API settings.k8s.io/v1alpha1/podpreset 開啟准入控制 PodPreset

Kubernetesk8s中文 名詞解釋Security Context和PSP_Kubernetes中文社群

Security Context Security Context的目的是限制不可信容器的行為,保護系統和其他容器不受其影響。 Kubernetes提供了三種配置Security Context的方法: Container-level Security Context:僅應用到指定的容器 Pod-

Kubernetesk8s中文 名詞解釋Namespace_Kubernetes中文社群

Namespace Namespace是對一組資源和物件的抽象集合,比如可以用來將系統內部的物件劃分為不同的專案組或使用者組。常見的pods, services, replication controllers和deployments等都是屬於某一個namespace的(預設是default),而n

Kubernetesk8s中文 名詞解釋ThirdPartyResources_Kubernetes中文社群

ThirdPartyResources ThirdPartyResources是一種無需改變程式碼就可以擴充套件Kubernetes API的機制,可以用來管理自定義物件。每個ThirdPartyResource都包含以下屬性 metadata:跟kubernetesmetadata一樣 kind

Kubernetesk8s中文 名詞解釋Node_Kubernetes中文社群

Node Node是Pod真正執行的主機,可以物理機,也可以是虛擬機器。為了管理Pod,每個Node節點上至少要執行container runtime(比如docker或者rkt)、kubelet和kube-proxy服務。 Node管理 不像其他的資源(如Pod和Namespace),Node本

Kubernetesk8s中文 名詞解釋ReplicaSets_Kubernetes中文社群

什麼是ReplicaSet? ReplicaSet是下一代複本控制器。ReplicaSet和 Replication Controller之間的唯一區別是現在的選擇器支援。Replication Controller只支援基於等式的selector(env=dev或environment!=qa),

Kubernetesk8s中文 名詞解釋CronJob_Kubernetes中文社群

CronJob CronJob即定時任務,就類似於Linux系統的crontab,在指定的時間週期執行指定的任務。在Kubernetes 1.5,使用CronJob需要開啟batch/v2alpha1 API,即–runtime-config=batch/v2alpha1。 CronJob Spec

Kubernetesk8s中文 名詞解釋ConfigMap_Kubernetes中文社群

ConfigMap ConfigMap用於儲存配置資料的鍵值對,可以用來儲存單個屬性,也可以用來儲存配置檔案。ConfigMap跟secret很類似,但它可以更方便地處理不包含敏感資訊的字串。 ConfigMap建立 可以使用kubectl create configmap從檔案、目錄或者key-v

Kubernetesk8s中文 名詞解釋Secret_Kubernetes中文社群

Secret Secret解決了密碼、token、金鑰等敏感資料的配置問題,而不需要把這些敏感資料暴露到映象或者Pod Spec中。Secret可以以Volume或者環境變數的方式使用。 Secret有三種類型: Service Account:用來訪問Kubernetes API,由Kubern

Kubernetesk8s中文 名詞解釋StatefulSet_Kubernetes中文社群

StatefulSet StatefulSet是為了解決有狀態服務的問題(對應Deployments和ReplicaSets是為無狀態服務而設計),其應用場景包括 穩定的持久化儲存,即Pod重新排程後還是能訪問到相同的持久化資料,基於PVC來實現 穩定的網路標誌,即Pod重新排程後其PodName

Kubernetesk8s中文 名詞解釋 Volumes_Kubernetes中文社群

容器中的磁碟的生命週期是短暫的,這就帶來了一系列的問題,第一,當一個容器損壞之後,kubelet 會重啟這個容器,但是檔案會丟失-這個容器會是一個全新的狀態,第二,當很多容器在同一Pod中執行的時候,很多時候需要資料檔案的共享。Kubernete Volume解決了這個問題 Background背景

Kubernetesk8s中文 名詞解釋 Replication Controller_Kubernetes中文社群

什麼是Replication Controller Replication Controller 保證了在所有時間內,都有特定數量的Pod副本正在執行,如果太多了,Replication Controller就殺死幾個,如果太少了,Replication Controller會新建幾個,和直接建立的

Kubernetesk8s中文 名詞解釋 Labels_Kubernetes中文社群

標籤 標籤其實就一對 key/value ,被關聯到物件上,比如Pod,標籤的使用我們傾向於能夠標示物件的特殊特點,並且對使用者而言是有意義的(就是一眼就看出了這個Pod是尼瑪資料庫),但是標籤對核心系統是沒有直接意義的。標籤可以用來劃分特定組的物件(比如,所有女的),標籤可以在建立一個物件的時候直

Kubernetesk8s中文 名詞解釋 Services_Kubernetes中文社群

Overview(概述) Kubernetes Pod是平凡的,它門會被建立,也會死掉(生老病死),並且他們是不可復活的。 ReplicationControllers動態的建立和銷燬Pods(比如規模擴大或者縮小,或者執行動態更新)。每個pod都由自己的ip,這些IP也隨著時間的變化也不能持續依賴