Kubernetes 账户详解:用户账户与服务账户全解析

最新推荐文章于 2025-02-20 16:14:43 发布
原创 最新推荐文章于 2025-02-20 16:14:43 发布 · 1k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

Kubernetes 账户详解:用户账户与服务账户全解析

在 Kubernetes(K8s)中,账户是访问集群资源的关键凭据。Kubernetes 的账户体系分为 用户账户(User Account)服务账户(Service Account)。两者的职责和适用场景截然不同:用户账户是给人用的,而服务账户则是给程序用的。今天我们来深挖两种账户的使用场景、配置方法和具体案例。

一、服务账户(Service Account)

服务账户(SA)是 Kubernetes 为 Pod 提供访问 Kubernetes API 的身份凭据。每个命名空间默认会创建一个 default 服务账户,但在实际应用中,通常需要为不同的服务创建独立的服务账户以实现更精细的权限管理。

服务账户的特点

  1. 自动挂载令牌

    • 服务账户令牌会自动挂载到 Pod 的 /var/run/secrets/kubernetes.io/serviceaccount 路径下,Pod 中的应用可以使用该令牌与 Kubernetes API 交互。

  2. 与 RBAC 配合使用

    • 服务账户通过绑定角色(Role 或 ClusterRole)来定义具体可以访问哪些资源及操作范围。

  3. 命名空间隔离

    • 服务账户属于特定命名空间,无法直接访问其他命名空间的资源。

使用场景

  • 监控工具访问集群
    Prometheus 等监控工具通过服务账户获取集群状态信息,例如 Pod、节点的运行状态。

  • 自动化任务执行
    CI/CD 流水线中的任务通过服务账户操作集群,如部署新版本应用。

  • 权限最小化
    不同服务使用独立的服务账户,只分配其所需的最小权限,确保安全性。

服务账户的配置与使用

1. 创建服务账户

配置文件示例:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: custom-sa
  namespace: default

应用配置文件:

kubectl apply -f service-account.yaml
最低0.47元/天 解锁文章

200万优质内容无限畅学
13、Kubernetes 集群管理:授权准入控制详解
agile9scrum的博客
08-05
本文详细解析Kubernetes集群管理中的授权准入控制机制。内容涵盖RBAC的配置使用、准入控制插件的作用及配置、动态准入控制的实现方法及测试,以及相关最佳实践和常见问题解答。通过本文,读者可以面了解Kubernetes的权限管理机制,并能根据实际需求进行配置和应用,提高集群的安性和管理效率。
Kubernetes架构组件详解:从入门到精通
最新发布
大模型大数据攻城狮的专栏
07-06 643
通过--policy-config-file指定调度配置文件,调整打分权重。
Kubernetes基础:用户认证
知行合一 止于至善
08-15 1251
这篇文章总结和介绍一下Kubernetes用户和认证相关的基础知识以及实际使用时常用的相关命令。
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1669
梳理出UserAccount用户账号一条线
K8S用户管理体系介绍
singless的博客
08-17 1645
在k8s中,有两类用户,service account和user,我们可以通过创建role或clusterrole,再将账户和role或clusterrole进行绑定来给账号赋予权限,实现权限控制,两类账户作用如下。server account:k8s的进程、pod申请授权时使用的账户。类似于nginx服务会有一个nginx用户。user:k8s的管理人员使用的账户,也就是我们使用的账户
Kubernetes 中的 ServiceAccount 使用指南
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
02-20 1188
Kubernetes (K8s) 中,是一种专门用于控制 Pod Kubernetes API 之间交互的资源。它提供身份验证的凭据,通常用于向 Pod 授予访问 Kubernetes API 的权限。
k8s创建用户账号——User Account
热门推荐
cbmljs的博客
11-07 1万+
用户账户用户Kubernetes 并不会存储由认证插件从客户端请求中提取出的用户及所属组的信息,它们仅仅用于检验用户是否有权限执行其所请求的操作。客户端访问API服务的途径通常有三种:kubectl、客户端库或者直接使用 REST接口进行请求。而可以执行此类请求的主体也被 Kubernetes 分为两类:现实中的“人”和 Pod 对象, 它们的用户身份分别对应于常规用户 (User Acc...
【PythonKubernetes集成】:SDK依赖管理配置详解
[【PythonKubernetes集成】:SDK依赖管理配置详解](https://cdn.educba.com/academy/wp-content/uploads/2019/03/How-to-Install-Kubernetes-1.jpg) # 摘要 随着微服务架构的流行,PythonKubernetes的集成已...
深入掌握Kubernetes核心:YAML配置详解实战
探索技术与实践的旅程,分享编程经验与工具使用心得,助力开发者提升技能。
08-27 1559
本文深入探讨了 Kubernetes 的多种资源类型,包括 Service、Pod、ServiceAccoun、HPA、NetworkPolicy、PDB 等。通过实际案例和详细的 YAML 文件解释,展示了这些资源在 Kubernetes 集群管理中的应用配置。特别地,PodDisruptionBudget (PDB) 是保障应用高可用性的关键工具,本文通过具体示例,说明了如何设置 PDB 以在维护和升级过程中维持服务的稳定性。文章旨在为 Kubernetes 用户提供实践指导和配置参考。
k8s 添加系统用户
weixin_30737433的博客
05-19 810
接着上面的博客继续写   useradd kube -d / -s /sbin/nologin -M   -d 指定家目录为 /   -M 不创建用户的家目录   mkdir /var/lib/kubelet   chcon -u system_u -t svirt_sandbox_file_t /var/lib/kubelet/   设置kube用户能访问/etc/kubernete...
Kubernetes中的用户权限管理实战【详细步骤】
marlinlm的博客
12-23 1935
逐步介绍如何为Kubernetes集群进行用户权限管理
Kubernetes详解(五十一)——Kubernetes用户创建
永远是少年
05-09 3004
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes权限配置。 一、Kubernetes证书生成 二、Kubernetes用户创建
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 9081
Kubernetes 的 Service Account 是如何工作的
kubernetes新建自定义用户(新cluster 用户名)
wt334502157的博客
10-30 1349
默认的kubernetes集群我们一般使用的都是:kubernetes-admin 用户来管理增删改查;那如何添加一个自定义用户呢,操作步骤如下: [root@master pki]# pwd /etc/kubernetes/pki [root@master pki]# [root@master pki]# [root@master pki]# [root@master pki]#...
kubernetes用户授权
weixin_34401479的博客
02-22 597
2019独角兽企业重金招聘Python工程师标准>>> ...
k8s UserAccount权限控制
w01k
05-10 9395
基于RBAC配置User权限,包括操作(get、create、list、delete、update、edit、watch、exec)资源:PodsPVConfigMapsDeploymentsNodesSecretsNamespaces资源api group关联(如pods属于core api group,deployments属于apps api group)。在RBAC中的几个概念:Rule...
普通程序员看k8s的账户管理
weixin_34005042的博客
04-08 174
一、知识准备 ● 账户管理分为:userAccountserviceAccount ● userAccount:通常是给人设计使用的,并且userAccount不在k8s集群内管理 ● serviceAccount:通常是为集群内pod,外部service访问而设计的,更轻量级,更专注实现某个任务 ● k8s账户管理,主要提供身份验证的功能,必须是k8s授权的账户,才能被允许进入集群。这里...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_42587823

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值