admin管理员组文章数量:1647964
ServiceAccount
挂载及使用
挂载目录:/run/secrets/kubernetes.io/serviceaccount
如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中
token 用于访问apiserver
默认认证信息
1 Group:system:servviceaccounts:[namespace-name]
2 User:system:serviceaccount:[namespace-name]:[pod-name]
3 ca.crt 用于效验服务端是否可信
4 pod的spec.serviceAccountName: build-robot
5 更新由kube-controller-manager 负责
Service Account Token Volume Projection:beta feature
定时rolling 更新token
enabled by passing all of the following flags to the API server:
–service-account-issuer
–service-account-signing-key-file
–service-account-api-audiences
指定挂载目录
可以指定token 挂载目录
serviceAccountName: build-robot
volumes:
- name: vault-token
projected:
sources:
- serviceAccountToken:
path: vault-token
expirationSeconds: 7200
audience: vault
spec
secrets
imagePullSecrets
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
kubectl create secret docker-registry harborsecret --docker-server=harbor.demo --docker-username='docker-admin' --docker-password='==pwd==' --docker-email='admin@demo'
secrets data
ca.crt:base64编码
namespace
token
默认secrets名称:ServiceAccountName-token-random
如没有手工创建,会自动创建一个type: kubernetes.io/service-account-token的secrets
本文标签: 学习笔记aliCNCFServiceAccount
版权声明:本文标题:ali CNCF ServiceAccount 学习笔记 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1729496227a1202940.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论