Come kubectl ottiene account di servizio?

Come kubectl ottiene account di servizio?

Kubernetes utilizza un account di servizio per consegnare l'ID del POD. I pod che si interrettano tramite il server API sono validati da un account di servizio specifico. Per evasione, l'applicazione convalida come account di servizio predefinito nello spazio dei nomi in cui è in esecuzione l'applicazione.

Kubernetes ha due categorie di account:

  • L'account utente viene utilizzato per fornire agli umani l'accesso al cluster Kubernetes specificato. Per questo, ogni utente deve essere considerato legittimo dal server API. L'account utente può essere un amministratore o un designer che richiede di ottenere le risorse a livello di cluster.
  • L'account di servizio viene utilizzato per convalidare le procedure a livello di macchina per ottenere i cluster Kubernetes. Il server API è responsabile per queste convalide per le procedure che eseguono nel pod.

Account di servizio Kubernetes ci consente di assegnare ai pod un ID che possiamo utilizzare. Successivamente, convalida il POD sul server API in modo che il POD possa leggere e interagire con gli oggetti API. Quindi, utilizza il carico di lavoro. Ciò accetta di fornire al pod un ID dettagliato e approvazione per raggiungere le API di Google Cloud.

In un cluster Kubernetes, qualsiasi procedura in un contenitore all'interno di un pod può raggiungere il cluster convalidando da un server API utilizzando un account di servizio. L'account di servizio offre l'ID della procedura in esecuzione nel pod e distingue gli account di servizio con lo spazio dei nomi che conferirà ai confini di gestione del cluster. Questo ci consente di limitare chi potrebbe essere in grado di lavorare con account di servizio specifici. Ciò risulta essere apprezzato man mano che l'associazione cresce. Ricorda di utilizzare la previsione del volume per le indicazioni dell'account del servizio. Ciò riduce la vita delle credenziali dell'account di servizio e modera l'influenza della perdita di credenziali.

In questo articolo, discutiamo di come Kubectl ottiene account di servizio.

Prerequisiti:

Innanzitutto, dobbiamo controllare il nostro sistema operativo. Dobbiamo utilizzare Ubuntu 20.04 Sistema operativo in questa situazione. D'altra parte, vediamo anche le distribuzioni Linux, a seconda delle nostre richieste. Inoltre, assicurarsi che il cluster Minikube sia un costituente importante per l'esecuzione di Servizi Kubernetes. Per implementare le istanze senza intoppi, abbiamo un cluster minikube installato sul laptop.

Ora, approfondiamo il processo di ottenere account di servizio Kubectl.

Avvia minikube:

Nell'avvio del cluster minikube, dobbiamo aprire un terminale su Ubuntu 20.04. Potremmo aprire il terminale con questi due metodi:

  • Cerca "Terminal" nella barra di ricerca dell'applicazione di Ubuntu 20.04
  • Usa la combinazione di tasti "Ctrl + alt + T".

Possiamo aprire in modo efficiente il terminale selezionando una di queste tecniche. Ora, dobbiamo lanciare il minikube. Per fare questo, eseguiamo il seguente comando:

Non è necessario uscire dal terminale fino all'inizio del minikube. Potremmo anche aggiornare il cluster minikube.

Ottieni gli account di servizio:

Quando i pod sono formati in un cluster di Kubernetes utilizzando uno spazio dei nomi specifico, per impostazione predefinita, tali POD costruiranno un account di servizio definito predefinito. Questo account costruisce inevitabilmente un token di servizio attraverso l'oggetto segreto definito. Pertanto, le applicazioni possono utilizzare questo account di servizio fornito dal POD per raggiungere i server API in uno spazio dei nomi identico.

Possiamo elencare tutte le risorse dell'account di servizio nello spazio dei nomi. Immettere il seguente comando:

Questo è l'output che otteniamo dopo aver eseguito il comando "kubectl otter serviceaccounts". Creiamo ulteriori elementi ServiceACCount eseguendo il seguente comando:


Il titolo di un elemento ServiceACCount dovrebbe essere un'etichetta di sottodominio DNS efficace. Se acquisiamo un dump dettagliato dell'elemento dell'account di servizio, dobbiamo eseguire il seguente comando:

Notiamo che il token è inevitabilmente generato e specificato dall'account di servizio. Possiamo utilizzare il plug -in di convalida per correggere le autorizzazioni sull'account di servizio. Per utilizzare un account di servizio non standard, stabilire il campo del pod al titolo dell'account di servizio che vogliamo utilizzare. L'account del servizio deve avvenire quando viene generato il pod. Non aggiorniamo l'account di servizio del pod formato.

Elimina l'account di servizio:

Ora, possiamo eliminare l'account di servizio come segue:


Se il POD non è in grado di contenere una serie di account di servizio, l'account di servizio verrà assegnato al valore predefinito.

Conclusione:

In questo articolo, abbiamo discusso di come funzionano gli account di servizio in un cluster configurato in base ai riferimenti di Kubernetes. L'amministratore del cluster può regolare il compartimento all'interno del cluster. Quando otteniamo il cluster, viene convalidato dal server API tramite un account utente specifico. Al momento, questo è generalmente amministrativo se l'amministratore del cluster ha modificato il cluster. Le procedure nei contenitori dei pod possono essere associate al server API. Una volta che lo garantiamo, saranno legittimi come account di servizio specifico. Speriamo che tu abbia trovato questo articolo utile. Dai un'occhiata al suggerimento Linux per ulteriori suggerimenti e informazioni su Kubectl.