做网站费用多少钱,各行各业网站建设口碑好,微信小程序推广软件,软件培训网站建设一#xff0c;认证
所有 Kubernetes 集群有两类用户#xff1a;由Kubernetes管理的ServiceAccounts(服务账户)和(Users Accounts)普通账户。
两种账户的区别#xff1a;
普通帐户是针对(人)用户的#xff0c;服务账户针对Pod进程普通帐户是全局性。在集群所有namespaces…一认证
所有 Kubernetes 集群有两类用户由Kubernetes管理的ServiceAccounts(服务账户)和(Users Accounts)普通账户。
两种账户的区别
普通帐户是针对(人)用户的服务账户针对Pod进程普通帐户是全局性。在集群所有namespaces中名称具有唯一性。通常群集的普通帐户可以与企业数据库同步新的普通帐户创建需要特殊权限。服务账户创建目的是更轻量化允许集群用户为特定任务创建服务账户普通帐户和服务账户的审核注意事项不同。对于复杂系统的配置包可以包括对该系统的各种组件的服务账户的定义。
1User Accounts
普通账户是假定被外部或独立服务管理的由管理员分配 keys用户像使用 Keystone 或 google 账号一样被存储在包含Usernames和Passwords的list 的文件里.
需要注意:在Kubernetes 中不能通过API调用将普通用户添加到焦群中。
2Service Accounts
# 获取Service Accounts
kubectl get serviceaccount 或者 [sa]自动化的三种控制器
2.1 Service Account Admission Controller
通过 Admission Controller 插件来实现对 pod 修改它是apiserver 的一部分。创建或更新 pod 时会同步进行修改 pod。当插件处于激活状态(在大多数发行版中都默认情况)创建或修改 pod 时会按以下操作执行:
如果 pod 没有设置 serviceAccount则将 ServiceAccount设置为 default。确保 pod 引用的 ServiceAccount 存在否则将会拒绝请求。如果 pod 不包含任何 ImagePullsecrets则将ServiceAccount的 lmagePullsecrets 会添加到 pod 中。为包含 API访问的 Token 的 pod 添加了一个 volume。把 volumesource 添加到安装在 pod 的每个容器中挂载在/var/run/secrets/kubernetes.io/serviceaccount.
2.2 Token Controller
2.3 Service Account Controller
Service Account Controller 在namespaces 里管理ServiceAccount并确保每个有效的 namespaces 中都存在一个名为default 的ServiceAccount。
二授权RBAC
角色Role
代表一个角色会包会一组权限没有拒绝规则只是附加允许。它是 Namespace 级别的资源只能作用与Namespace之内。
#查春已有的角色信息
kubectl get role -n ingress-nginx -o yaml集群角色ClusterRole
功能与 Role 一样区别是资源类型为集群类型而 Role 只在Namespace
# 查看某个集群角色的详细信息
kubectl get clusterrole [集群名] -o yaml角色绑定RoleBinding
Role 或 ClusterRole 只是用于制定权限集合具体作用与什么对象上需要使用 RoleBinding 来进行绑走。
作用于 Namespace 内可以将 Role 或 ClusterRole 绑定到User、Group、service Account 上.
#查看 rolebinding 信息
kubectl get rolebinding --all-namespaces
或
kubectl get rolebinding -A#查看指定 rolebinding 的配置信息
kubectl get rolebinding role_binding_name --all-namespaces -oyaml
或
kubectl get rolebinding role_binding_name -A -oyaml集群角色绑定ClusterRoleBinding
相关内容同角色绑定
