ali CNCF ServiceAccount 学习笔记

ServiceAccount

挂载及使用
挂载目录：/run/secrets/kubernetes.io/serviceaccount
如果Pod没有指定ImagePullSecrets，则把service account的ImagePullSecrets加到Pod中
token 用于访问apiserver

默认认证信息
1 Group:system:servviceaccounts:[namespace-name]
2 User:system:serviceaccount:[namespace-name]:[pod-name]
3 ca.crt 用于效验服务端是否可信
4 pod的spec.serviceAccountName: build-robot
5 更新由kube-controller-manager 负责

Service Account Token Volume Projection：beta feature
定时rolling 更新token
enabled by passing all of the following flags to the API server:
–service-account-issuer
–service-account-signing-key-file
–service-account-api-audiences
指定挂载目录
可以指定token 挂载目录

1
2
3
4
5
6
7
8
9
10
serviceAccountName: build-robot
  volumes:
  - name: vault-token
    projected:
      sources:
      - serviceAccountToken:
          path: vault-token
          expirationSeconds: 7200
          audience: vault

spec
secrets
imagePullSecrets

1
2
3
kubectl patch serviceaccount default -p '{"imagePullSecrets": [{"name": "myregistrykey"}]}'
kubectl create secret docker-registry harborsecret --docker-server=harbor.demo.com.cn --docker-username='docker-admin' --docker-password='==pwd==' --docker-email='admin@demo.com'

secrets data
ca.crt：base64编码
namespace

token
默认secrets名称：ServiceAccountName-token-random
如没有手工创建，会自动创建一个type: kubernetes.io/service-account-token的secrets

最后

以上就是传统灯泡最近收集整理的关于ali CNCF ServiceAccount 学习笔记的全部内容，更多相关ali内容请搜索靠谱客的其他文章。