前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Kubernetes 管理 Service Accounts

Kubernetes 管理 Service Accounts

作者头像
kubernetes中文社区
发布2019-06-24 16:14:45
7810
发布2019-06-24 16:14:45
举报
文章被收录于专栏:kubernetes中文社区

User Accounts 与 Service Accounts

Kubernetes区分普通帐户(user accounts)和服务帐户(service accounts)的原因:

  • 普通帐户是针对(人)用户的,服务账户针对Pod进程。
  • 普通帐户是全局性。在集群所有namespaces中,名称具有惟一性。
  • 通常,群集的普通帐户可以与企业数据库同步,新的普通帐户创建需要特殊权限。服务账户创建目的是更轻量化,允许集群用户为特定任务创建服务账户。
  • 普通帐户和服务账户的审核注意事项不同。
  • 对于复杂系统的配置包,可以包括对该系统的各种组件的服务账户的定义。

Service account automation

三个独立的组件协作,来实现service account的自动化:

  • 一个service account准入控制器(admission controller)
  • 一个 Token controller
  • 一个service account controller

Service Account Admission Controller

通过 Admission Controller插件来实现对pod修改,它是apiserver的一部分。创建或更新pod时会同步进行修改pod。当插件处于激活状态(在大多数发行版中都默认情况)创建或修改pod时,会按以下操作执行:

  1. 如果pod没有设置ServiceAccount,则将ServiceAccount设置为default。
  2. 确保pod引用的ServiceAccount存在,否则将会拒绝请求。
  3. 如果pod不包含任何ImagePullSecrets,则将ServiceAccount的ImagePullSecrets会添加到pod中。
  4. 为包含API访问的Token的pod添加了一个volume。
  5. 把volumeSource添加到安装在pod的每个容器中,挂载在/var/run/secrets/kubernetes.io/serviceaccount。

Token controller

TokenController作为controller-manager的一部分运行。异步行为:

  • 观察serviceAccount的创建,并创建一个相应的Secret 来允许API访问。
  • 观察serviceAccount的删除,并删除所有相应的ServiceAccountToken Secret
  • 观察secret 添加,并确保关联的ServiceAccount存在,并在需要时向secret 中添加一个Token。
  • 观察secret 删除,并在需要时对应 ServiceAccount 的关联

需要使用--service-account-private-key-file 参数选项将Service Account 密匙(key)文件传递给controller-manager中的Token controller。key用于 Service Account Token签名。同样,也需要使用--service-account-key-file 参数选项将相应的(public key)公匙传递给kube-apiserver ,公钥用于在认证期间验证Token。

To create additional API tokens

controller loop能确保每个Service Account都存在一个带有API Token的secret 。如要为Service Account创建额外的API Token,可以使用创建ServiceAccountToken类型的secret,添加与Service Account对应的 annotation 属性,controller会更新令牌:

secret.json:

代码语言:javascript
复制
{
    "kind": "Secret",
    "apiVersion": "v1",
    "metadata": {
        "name": "mysecretname",
        "annotations": {
            "kubernetes.io/service-account.name": "myserviceaccount"
        }
    },
    "type": "kubernetes.io/service-account-token"
}
代码语言:javascript
复制
kubectl create -f ./secret.json
kubectl describe secret mysecretname

代码语言:javascript
复制
要删除/使Service Account token无效
代码语言:javascript
复制
kubectl delete secret mysecretname

Service Account Controller

Service Account Controller在namespaces里管理ServiceAccount,并确保每个有效的namespaces中都存在一个名为“default”的ServiceAccount。

本文翻译Kubernetes官方文档

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-04-06,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 kubernetes中文社区 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • User Accounts 与 Service Accounts
  • Service account automation
    • Service Account Admission Controller
      • Token controller
        • To create additional API tokens
      • Service Account Controller
      相关产品与服务
      容器服务
      腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档