K8S基本操作-15-ServiceAccount 和 ClusterRoleBinding
ServiceAccount 和 ClusterRoleBinding
ServiceAccount(服務帳戶)
ServiceAccount(服務帳戶) 是一種 Kubernetes 資源,用於為 Pod 提供身份。Pod 可以使用 ServiceAccount 來訪問 Kubernetes API 和其他資源。
主要功能:
-
提供身份: 每個 ServiceAccount 都有一個唯一的名稱和一個 Secret,其中包含一個 API 令牌。Pod 可以使用此 API 令牌向 Kubernetes API 進行身份驗證。
-
授權訪問: 可以將權限(例如讀取或寫入特定資源的權限)與 ServiceAccount 關聯。這可以控制 Pod 可以訪問哪些資源。
-
秘密管理: ServiceAccount 可以與 Secret 關聯,以允許 Pod 訪問敏感信息,例如密碼或 API 密鑰。
ClusterRoleBinding(集群角色綁定)
ClusterRoleBinding(集群角色綁定) 是一種 Kubernetes 資源,用於將角色(Role)綁定到 ServiceAccount 或用戶組。這允許您授予 ServiceAccount 或用戶組訪問特定資源的權限。
主要功能:
-
角色綁定: ClusterRoleBinding 將角色(Role)綁定到 ServiceAccount 或用戶組。角色定義了一組權限,例如讀取或寫入特定資源的權限。
-
集群範圍的授權: ClusterRoleBinding 授予集群範圍的權限,這意味著它授予的權限適用於集群中的所有命名空間。
在上述描述中,ServiceAccount 和 ClusterRoleBinding 被用於授予自定義調度器訪問 Kubernetes API 和其他資源的權限。
使用 kubectl get serviceaccount -n kube-system
和 kubectl get clusterrolebinding
命令可以查看這些資源的詳細信息。