Kubernetes używa konta serwisowego do dostarczenia identyfikatora POD. PODS, KTÓRE ZWIĄZKOWE ZA SERWEM API, są sprawdzane przez określone konto usługi. Przez unikanie aplikacja uprawnienia jako domyślne konto usługi w przestrzeni nazw, w której aplikacja jest uruchomiona.
Kubernetes ma dwie kategorie kont:
Konta usług Kubernetes pozwól nam przypisać Pods Identyfikator, który możemy wykorzystać. Następnie weryfikuje POD do serwera API, aby kapsuł. Następnie użyj obciążenia. Zgadza się to podać Poddopanowi szczegółowy identyfikator i zatwierdzenie osiągnięcia interfejsów API Google Cloud.
W klastrze Kubernetes każda procedura w pojemniku wewnątrz kapsułki może osiągnąć klaster, sprawdzając walidację z serwera API za pomocą konta serwisowego. Konto usługi oferuje identyfikator procedury działającej w POD i rozróżnia konta usługi według przestrzeni nazwy nadającej granice zarządzania klastrem. To pozwala nam ograniczyć, kto może być w stanie pracować z określonymi kontami usług. Okazuje się to doceniane w miarę wzrostu stowarzyszenia. Pamiętaj, aby wykorzystać prognozę woluminów na wskazania konta serwisowego. To skraca żywotność poświadczenia konta serwisowego i moderuje wpływ wycieku poświadczenia.
W tym artykule omówmy, w jaki sposób Kubectl otrzymuje konta serwisowe.
Wymagania wstępne:
Najpierw musimy sprawdzić nasz system operacyjny. Musimy wykorzystać Ubuntu 20.04 System operacyjny w tej sytuacji. Z drugiej strony widzimy również rozkłady Linux, w zależności od naszych żądań. Ponadto upewnij się, że klaster minikube jest ważnym składnikiem uruchamiania usług Kubernetes. Aby płynnie zaimplementować instancje, na laptopie zainstalowano klaster minikube.
Teraz opracowujemy proces otrzymywania rachunków serwisowych Kubectl.
Rozpocznij minikube:
Uruchamiając klaster minikube, musimy otworzyć terminal na Ubuntu 20.04. Możemy otworzyć terminal tymi dwiema metodami:
Możemy skutecznie otworzyć terminal, wybierając jedną z tych technik. Teraz musimy uruchomić minikube. Aby to zrobić, uruchamiamy następujące polecenie:
Nie ma potrzeby wychodzenia z terminala, aż minikube się uruchomi. Możemy również zaktualizować klaster minikube.
Uzyskaj konta usług:
Gdy kapsuły są tworzone w klastrze Kubernetes przy użyciu określonej przestrzeni nazw, domyślnie te kapsuły skonstruują konto serwisowe określane jako domyślne. To konto nieuchronnie konstruuje token serwisowy za pośrednictwem zdefiniowanego tajnego obiektu. Dlatego aplikacje mogą korzystać z tego konta usługi dostarczonego przez POD, aby osiągnąć serwery API w identycznym przestrzeni nazw.
Możemy wymienić wszystkie zasoby konta serwisowego w przestrzeni nazw. Wprowadź następujące polecenie:
To jest wyjście, które otrzymujemy po uruchomieniu polecenia „Kubectl Get ServiceAccounts”. Tworzymy dodatkowe elementy serviceAccount, uruchamiając następujące polecenie:
Tytuł przedmiotu ServiceAccount powinien być skuteczną etykietą subdomeny DNS. Jeśli zdobędziemy szczegółowy zrzut elementu konta usługi, musimy wykonać następujące polecenie:
Zauważamy, że token jest nieuchronnie generowany i określony przez konto serwisowe. Możemy wykorzystać wtyczkę sprawdzania poprawności do naprawy zezwoleń na koncie serwisowym. Aby skorzystać z niestandardowego konta serwisowego, ustal pole kapsuła na tytuł konta serwisowego, którego chcemy wykorzystać. Konto usługi musi wystąpić po wygenerowaniu POD. Nie aktualizujemy konta serwisowego utworzonego POD.
Usuń konto serwisowe:
Teraz możemy usunąć konto usługi w następujący sposób:
Jeśli POD nie może zawierać serii konta serwisowego, konto serwisowe zostanie przypisane do wartości domyślnej.
Wniosek:
W tym artykule omówiliśmy, jak działają konta usługowe w klastrze skonfigurowanym zgodnie z odniesieniami Kubernetes. Administrator klastra może dostosować przedział w klastrze. Kiedy otrzymujemy klaster, jest on sprawdzany przez serwer API za pośrednictwem określonego konta użytkownika. Obecnie jest to ogólnie administracyjne, jeśli administrator klastra zmodyfikował klaster. Procedury w pojemnikach POD może być powiązane z serwerem API. Gdy to zapewnimy, będą one uzasadnione jako konkretne konto serwisowe. Mamy nadzieję, że ten artykuł jest pomocny. Sprawdź Linux Wskazówka, aby uzyskać więcej wskazówek i informacji na temat Kubectl.