如何在 Kubernetes 中创建服务账号

简介

Kubernetes 服务账号（Kubernetes Service Accounts）是 Kubernetes 生态系统中的一个关键组件，它提供了一种对在 Kubernetes 集群中运行的工作负载进行身份验证和授权的方式。本教程将指导你理解 Kubernetes 服务账号的概念，有效地管理它们，并使用服务账号保护你的 Kubernetes 工作负载。

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL kubernetes(("Kubernetes")) -.-> kubernetes/BasicCommandsGroup(["Basic Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/AdvancedCommandsGroup(["Advanced Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/TroubleshootingandDebuggingCommandsGroup(["Troubleshooting and Debugging Commands"]) kubernetes(("Kubernetes")) -.-> kubernetes/ConfigurationandVersioningGroup(["Configuration and Versioning"]) kubernetes/BasicCommandsGroup -.-> kubernetes/get("Get") kubernetes/BasicCommandsGroup -.-> kubernetes/create("Create") kubernetes/AdvancedCommandsGroup -.-> kubernetes/apply("Apply") kubernetes/TroubleshootingandDebuggingCommandsGroup -.-> kubernetes/describe("Describe") kubernetes/ConfigurationandVersioningGroup -.-> kubernetes/config("Config") subgraph Lab Skills kubernetes/get -.-> lab-419481{{"如何在 Kubernetes 中创建服务账号"}} kubernetes/create -.-> lab-419481{{"如何在 Kubernetes 中创建服务账号"}} kubernetes/apply -.-> lab-419481{{"如何在 Kubernetes 中创建服务账号"}} kubernetes/describe -.-> lab-419481{{"如何在 Kubernetes 中创建服务账号"}} kubernetes/config -.-> lab-419481{{"如何在 Kubernetes 中创建服务账号"}} end

理解 Kubernetes 服务账号

Kubernetes 服务账号是 Kubernetes 生态系统中的一个关键组件，它提供了一种对在 Kubernetes 集群中运行的工作负载进行身份验证和授权的方式。服务账号用于授予对集群内资源的特定权限和访问权，确保每个工作负载都具有所需的适当访问级别。

在 Kubernetes 中，每个 Pod 都与一个服务账号相关联，该服务账号充当 Pod 的标识。创建 Pod 时，除非指定了特定的服务账号，否则它会自动分配一个默认服务账号。服务账号用于对 Pod 进行身份验证，并授予它们与 Kubernetes 资源进行交互所需的必要权限。

graph TD A[Pod] --> B[Service Account] B --> C[RBAC Roles/ClusterRoles] B --> D[Kubernetes API]

服务账号是使用 Kubernetes 的基于角色的访问控制（RBAC）系统实现的，该系统允许你定义和管理集群内不同实体的权限。每个服务账号都与一个或多个 RBAC 角色或集群角色相关联，这些角色决定了服务账号被允许执行的操作。

apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account

在上面的示例中，我们创建了一个名为 my-service-account 的服务账号。然后，可以将此服务账号分配给一个 Pod，授予该 Pod 与服务账号相关联的权限。

通过理解 Kubernetes 服务账号的概念及其工作方式，你可以有效地管理 Kubernetes 工作负载的安全性和访问控制，确保每个组件都具有执行其任务所需的适当权限级别。

管理 Kubernetes 服务账号

管理 Kubernetes 服务账号涉及在你的 Kubernetes 集群中创建、配置服务账号并将其分配给 Pod。此过程可确保你的工作负载具有与 Kubernetes 资源进行交互所需的适当访问级别和权限。

创建服务账号

要创建新的服务账号，你可以使用 Kubernetes API 或 kubectl 命令行工具。以下是创建名为 my-service-account 的服务账号的示例：

apiVersion: v1
kind: ServiceAccount
metadata:
  name: my-service-account

然后，你可以通过运行以下命令来创建此服务账号：

kubectl create -f service-account.yaml

将服务账号分配给 Pod

创建 Pod 时，你可以指定该 Pod 使用的服务账号。以下是一个使用 my-service-account 服务账号的 Deployment 示例：

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  replicas: 3
  selector:
    matchLabels:
      app: my-app
  template:
    metadata:
      labels:
        app: my-app
    spec:
      serviceAccountName: my-service-account
      containers:
        - name: my-container
          image: my-app:v1

在此示例中，由 Deployment 创建的 Pod 将使用 my-service-account 服务账号，该账号授予它们与 Kubernetes 资源进行交互所需的必要权限。

管理服务账号权限

服务账号与 Kubernetes 的 RBAC 系统集成，这使你能够定义和管理集群内不同实体的权限。你可以创建 RBAC 角色或集群角色，并将它们绑定到服务账号以授予适当的权限。

通过了解如何管理 Kubernetes 服务账号，你可以确保工作负载在维护安全且可控的 Kubernetes 环境的同时，拥有执行其任务所需的必要访问权限。

使用服务账号保护 Kubernetes 工作负载

Kubernetes 服务账号在保护 Kubernetes 集群内的工作负载方面发挥着关键作用。通过利用服务账号，你可以确保应用程序的每个组件都具有适当的访问级别和权限，从而降低未经授权访问或权限提升的风险。

服务账号的用例

服务账号可用于各种场景，以增强 Kubernetes 工作负载的安全性：

微服务通信：当你的应用程序由多个微服务组成时，你可以使用服务账号来控制这些服务之间的通信，确保每个服务仅具有与所需资源进行交互的必要权限。
Pod 访问控制：通过为 Pod 分配特定的服务账号，你可以微调授予这些 Pod 的权限，将其访问权限限制为仅执行任务所需的资源。
令牌轮换：Kubernetes 服务账号会自动为 Pod 生成和管理访问令牌。这些令牌可以定期轮换，以增强集群的整体安全性。

graph TD A[Microservice A] --> B[Service Account A] B --> C[Kubernetes API] D[Microservice B] --> E[Service Account B] E --> C

在上述示例中，两个微服务 A 和 B 使用不同的服务账号与 Kubernetes API 进行交互。这确保每个微服务仅具有执行其特定任务所需的必要权限，从而降低未经授权访问或权限提升的风险。

通过了解如何利用 Kubernetes 服务账号来保护你的工作负载，你可以实现一个强大且精细的访问控制系统，确保你的应用程序在安全且可控的环境中运行。

总结

通过理解和管理 Kubernetes 服务账号，你可以确保每个工作负载在 Kubernetes 集群中都具有适当的权限级别，并能够访问所需的资源。这将帮助你维护一个安全且可控的 Kubernetes 环境，使每个组件都能在不损害整个系统完整性的情况下执行其任务。