ServiceAccount 和 ClusterRoleBinding

ServiceAccount（服務帳戶）

ServiceAccount（服務帳戶） 是一種 Kubernetes 資源，用於為 Pod 提供身份。Pod 可以使用 ServiceAccount 來訪問 Kubernetes API 和其他資源。

主要功能：

• 提供身份： 每個 ServiceAccount 都有一個唯一的名稱和一個 Secret，其中包含一個 API 令牌。Pod 可以使用此 API 令牌向 Kubernetes API 進行身份驗證。

• 授權訪問： 可以將權限（例如讀取或寫入特定資源的權限）與 ServiceAccount 關聯。這可以控制 Pod 可以訪問哪些資源。

• 秘密管理： ServiceAccount 可以與 Secret 關聯，以允許 Pod 訪問敏感信息，例如密碼或 API 密鑰。

ClusterRoleBinding（集群角色綁定）

ClusterRoleBinding（集群角色綁定） 是一種 Kubernetes 資源，用於將角色（Role）綁定到 ServiceAccount 或用戶組。這允許您授予 ServiceAccount 或用戶組訪問特定資源的權限。

主要功能：

• 角色綁定： ClusterRoleBinding 將角色（Role）綁定到 ServiceAccount 或用戶組。角色定義了一組權限，例如讀取或寫入特定資源的權限。

• 集群範圍的授權： ClusterRoleBinding 授予集群範圍的權限，這意味著它授予的權限適用於集群中的所有命名空間。

在上述描述中，ServiceAccount 和 ClusterRoleBinding 被用於授予自定義調度器訪問 Kubernetes API 和其他資源的權限。

使用 kubectl get serviceaccount -n kube-system 和 kubectl get clusterrolebinding 命令可以查看這些資源的詳細信息。

• K8S