Las cuentas de servicio (Service Accounts) de Kubernetes son un componente crucial en la gestión de la identidad y el control de acceso de las aplicaciones que se ejecutan dentro de un clúster de Kubernetes. Este tutorial lo guiará a través de la comprensión de las cuentas de servicio de Kubernetes, la configuración del panel de control (Dashboard) de Kubernetes con una cuenta de servicio y la concesión de los permisos necesarios al panel de control.
Las cuentas de servicio (Service Accounts) de Kubernetes son un componente crucial en la gestión de la identidad y el control de acceso de las aplicaciones que se ejecutan dentro de un clúster de Kubernetes. Proporcionan una forma para que los pods se autentiquen y autoricen sus interacciones con el servidor de API de Kubernetes, lo que permite una comunicación segura y el acceso a recursos.
Las cuentas de servicio (Service Accounts) de Kubernetes están asociadas a los pods y proporcionan una identidad para los procesos que se ejecutan dentro de esos pods. Se utilizan para autenticar y autorizar las interacciones entre el pod y el servidor de API de Kubernetes. Cada espacio de nombres (namespace) en un clúster de Kubernetes tiene una cuenta de servicio predeterminada, y también puede crear cuentas de servicio personalizadas para satisfacer los requisitos específicos de la aplicación.
Las cuentas de servicio (Service Accounts) de Kubernetes sirven para varios propósitos importantes:
Para configurar una cuenta de servicio (Service Account) de Kubernetes, puede seguir estos pasos:
kubectl create serviceaccount. Por ejemplo, para crear una cuenta de servicio llamada "my-app-sa" en el espacio de nombres (namespace) "default", ejecutaría:kubectl create serviceaccount my-app-sa -n defaultspec.serviceAccountName:apiVersion: v1
kind: Pod
metadata:
name: my-app
spec:
serviceAccountName: my-app-sa
containers:
- name: my-app
image: my-app:v1Role o ClusterRole y vincularlo a la cuenta de servicio utilizando un RoleBinding o ClusterRoleBinding.Los permisos específicos necesarios dependerán de las acciones que su aplicación deba realizar dentro del clúster de Kubernetes.
El panel de control (Dashboard) de Kubernetes es una interfaz web (UI) poderosa que le permite administrar su clúster de Kubernetes. Para proteger el panel de control y controlar el acceso a él, puede configurarlo para que utilice una cuenta de servicio (Service Account) de Kubernetes.
kubectl create serviceaccount dashboard-sa -n kubernetes-dashboardkubectl get serviceaccounts -n kubernetes-dashboardkubectl create clusterrolebinding dashboard-sa-cluster-admin-binding --clusterrole=cluster-admin --serviceaccount=kubernetes-dashboard:dashboard-saEsto vincula el rol de clúster (ClusterRole) cluster-admin a la cuenta de servicio dashboard-sa en el espacio de nombres (namespace) kubernetes-dashboard, otorgándole acceso administrativo completo al clúster.
dashboard-sa:kubectl edit deployment kubernetes-dashboard -n kubernetes-dashboardActualice el campo spec.template.spec.serviceAccountName a dashboard-sa.
kubectl delete pod -n kubernetes-dashboard -l app.kubernetes.io/name=kubernetes-dashboardAhora, el panel de control (Dashboard) de Kubernetes utilizará la cuenta de servicio dashboard-sa para interactuar con el servidor de API de Kubernetes, proporcionando acceso seguro a los recursos del clúster.
Para conceder los permisos necesarios al panel de control (Dashboard) de Kubernetes, puede utilizar el control de acceso basado en roles (Role-Based Access Control, RBAC) de Kubernetes para definir y asignar los roles y permisos adecuados.
El RBAC de Kubernetes es un potente mecanismo para controlar el acceso a los recursos de Kubernetes. Le permite definir roles con permisos específicos y luego asignar esos roles a usuarios, grupos o cuentas de servicio.
Los componentes principales del RBAC son:
Para conceder los permisos necesarios al panel de control (Dashboard) de Kubernetes, puede crear un ClusterRole y un ClusterRoleBinding.
kubectl create clusterrole dashboard-cluster-role --resource=deployments,pods,services,secrets,configmaps,jobs,cronjobs --verb=get,list,watch,create,update,deleteEste ClusterRole otorga permisos de lectura, escritura y eliminación a los recursos de Kubernetes especificados.
kubectl create clusterrolebinding dashboard-cluster-role-binding --clusterrole=dashboard-cluster-role --serviceaccount=kubernetes-dashboard:dashboard-saEsto vincula el ClusterRole dashboard-cluster-role a la cuenta de servicio dashboard-sa en el espacio de nombres (namespace) kubernetes-dashboard.
Ahora, el panel de control (Dashboard) de Kubernetes tendrá los permisos necesarios para acceder y administrar los recursos dentro del clúster de Kubernetes.
En este tutorial, ha aprendido sobre las cuentas de servicio (Service Accounts) de Kubernetes, su importancia y cómo configurarlas. También ha aprendido cómo configurar el panel de control (Dashboard) de Kubernetes con una cuenta de servicio y conceder los permisos necesarios al panel de control. Al comprender y configurar adecuadamente las cuentas de servicio de Kubernetes, puede garantizar una comunicación segura y un control de acceso detallado dentro de su clúster de Kubernetes.
