Wie Kubectl Servicekonten erhält?

Wie Kubectl Servicekonten erhält?

Kubernetes verwendet ein Servicekonto, um die ID der POD zu liefern. Pods, die über den API -Server zusammenhängen, werden durch ein bestimmtes Dienstkonto validiert. Durch Ausweichen wird die Anwendung als Standarddienstkonto in dem Namespace validiert, in dem die Anwendung ausgeführt wird.

Kubernetes hat zwei Kategorien von Konten:

  • Das Benutzerkonto wird verwendet, um den Menschen Zugriff auf den angegebenen Kubernetes -Cluster zu gewähren. Dazu muss jeder Benutzer vom API -Server als legitim angesehen werden. Das Benutzerkonto kann ein Administrator oder Designer sein, der verlangt, die Ressourcen auf Clusterebene zu erhalten.
  • Das Servicekonto wird verwendet, um Verfahren auf Maschinenebene zu validieren, um die Kubernetes-Cluster zu erhalten. Der API -Server haftet für diese Validierungen für die in der POD durchgeführten Prozeduren.

Mit Kubernetes Service -Konten können wir Pods eine ID zuweisen, die wir verwenden können. Als Nächst. Verwenden Sie dann die Arbeitsbelastung. Dies erklärt sich damit einverstanden, dem POD eine detaillierte ID und Genehmigung zur Erreichung der Google Cloud -APIs zur Verfügung zu stellen.

In einem Kubernetes -Cluster kann jedes Verfahren in einem Container in einem Pod den Cluster erreichen, indem er über einen API -Server über ein Dienstkonto validiert. Das Servicekonto bietet die ID des in der POD ausgeführten Prozedur an und unterscheidet die Servicekonten per Namespace, der an die Verwaltungsgrenzen des Clusters vermittelt wird. Auf diese Weise können wir einschränken, wer möglicherweise mit bestimmten Servicekonten arbeiten kann. Dies stellt sich heraus, als der Verein wächst. Denken Sie daran, die Volumenvorhersage für Service -Account -Indikationen zu verwenden. Dies verkürzt die Lebensdauer des Servicekontos und moderiert den Einfluss von Anmeldeinformationen.

Lassen Sie uns in diesem Artikel diskutieren, wie Kubectl Servicekonten erhält.

Voraussetzungen:

Zuerst müssen wir unser Betriebssystem überprüfen. Wir müssen den Ubuntu 20 nutzen.04 Betriebssystem in dieser Situation. Auf der anderen Seite sehen wir auch Linux -Verteilungen, abhängig von unseren Anfragen. Stellen Sie außerdem sicher, dass der Minikube -Cluster ein wichtiger Bestandteil für den Betrieb von Kubernetes -Diensten ist. Um die Instanzen reibungslos zu implementieren, haben wir einen Minikube -Cluster auf dem Laptop installiert.

Jetzt nähern wir uns auf den Prozess des Erhaltens von Kubectl -Servicekonten.

Starten Sie Minikube:

Beim Start des Minikube -Clusters müssen wir ein Terminal auf Ubuntu 20 eröffnen.04. Wir können das Terminal mit diesen beiden Methoden öffnen:

  • Suchen Sie in der Suchleiste der Anwendung von Ubuntu 20 nach „Terminal“.04
  • Verwenden Sie die Schlüsselkombination "Strg + Alt + T".

Wir können das Terminal effizient öffnen, indem wir eine dieser Techniken auswählen. Jetzt müssen wir die Minikube starten. Dazu führen wir den folgenden Befehl aus:

Es ist nicht erforderlich, das Terminal zu verlassen, bis Minikube beginnt. Wir können auch den Minikube -Cluster aktualisieren.

Holen Sie sich die Servicekonten:

Wenn Pods in einem Kubernetes -Cluster unter Verwendung eines bestimmten Namespace gebildet werden, erstellen diese Pods standardmäßig ein Dienstkonto, das als Standard bezeichnet wird. Dieses Konto erstellt unweigerlich ein Service -Token über das definierte geheime Objekt. Daher können Anwendungen dieses vom POD bereitgestellte Servicekonto verwenden, um API -Server in einem identischen Namespace zu erreichen.

Wir können alle Ressourcen für Service -Konto im Namespace auflisten. Geben Sie den folgenden Befehl ein:

Dies ist die Ausgabe, die wir nach dem Ausführen des Befehls „Kubectl Get serviceAccounts“ erhalten. Wir erstellen zusätzliche ServiceAccount -Elemente, indem wir den folgenden Befehl ausführen:


Der Titel eines ServiceAccount -Artikels sollte ein effektives DNS -Subdomain -Etikett sein. Wenn wir einen detaillierten Dump des Service -Konto -Elements erwerben, müssen wir den folgenden Befehl ausführen:

Wir stellen fest, dass das Token zwangsläufig vom Servicekonto generiert und angegeben ist. Wir können das Validierungs -Plugin verwenden, um die Autorisierungen auf dem Servicekonto zu beheben. Um ein nicht standardmäßiges Servicekonto zu verwenden. Das Servicekonto muss auftreten, wenn die POD generiert wird. Wir aktualisieren das Servicekonto der gebildeten Pod nicht.

Löschen Sie das Servicekonto:

Jetzt können wir das Servicekonto wie folgt löschen:


Wenn der Pod keine Service -Konto -Serie enthalten konnte, wird das Servicekonto dem Standardwert zugewiesen.

Abschluss:

In diesem Artikel haben wir besprochen, wie Servicekonten in einem Cluster funktionieren, das gemäß den Referenzen der Kubernetes konfiguriert ist. Der Clusteradministrator kann das Fach innerhalb des Clusters einstellen. Wenn wir den Cluster erhalten, wird er vom API -Server über ein bestimmtes Benutzerkonto validiert. Derzeit ist dies im Allgemeinen administrativ, wenn der Clusteradministrator den Cluster geändert hat. Verfahren in den Containern der Pods können dem API -Server zugeordnet werden. Sobald wir dies sicherstellen, werden sie als spezifisches Servicekonto legitim sein. Wir hoffen, Sie haben diesen Artikel hilfreich gefunden. Weitere Tipps und Informationen zu Kubectl finden Sie unter Linux Tipp.