概述
ServiceAccount
挂载及使用
挂载目录:/run/secrets/kubernetes.io/serviceaccount
如果Pod没有指定ImagePullSecrets,则把service account的ImagePullSecrets加到Pod中
token 用于访问apiserver
默认认证信息
1 Group:system:servviceaccounts:[namespace-name]
2 User:system:serviceaccount:[namespace-name]:[pod-name]
3 ca.crt 用于效验服务端是否可信
4 pod的spec.serviceAccountName: build-robot
5 更新由kube-controller-manager 负责
Service Account Token Volume Projection:beta feature
定时rolling 更新token
enabled by passing all of the following flags to the API server:
–service-account-issuer
–service-account-signing-key-file
–service-account-api-audiences
指定挂载目录
可以指定token 挂载目录
serviceAccountName: build-robot
volumes:
- name: vault-token
projected:
sources:
- serviceAccountToken:
path: vault-token
expirationSeconds: 7200
audience: vault
spec
secrets
imagePullSecrets
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
kubectl create secret docker-registry harborsecret --docker-server=harbor.demo.com.cn --docker-username='docker-admin' --docker-password='==pwd==' --docker-email='admin@demo.com'
secrets data
ca.crt:base64编码
namespace
token
默认secrets名称:ServiceAccountName-token-random
如没有手工创建,会自动创建一个type: kubernetes.io/service-account-token的secrets
最后
以上就是传统灯泡为你收集整理的ali CNCF ServiceAccount 学习笔记的全部内容,希望文章能够帮你解决ali CNCF ServiceAccount 学习笔记所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复