Kubernetes utilise un compte de service pour livrer l'ID du pod. Les pods qui interagissent via le serveur API sont validés par un compte de service spécifique. Par évasion, l'application valide comme le compte de service par défaut dans l'espace de noms dans lequel l'application est en cours d'exécution.
Kubernetes a deux catégories de comptes:
Comptes de service Kubernetes Attribuons des pods un identifiant que nous pouvons utiliser. Ensuite, il valide le pod au serveur API afin que le pod puisse lire et interagir avec les objets API. Ensuite, utilisez la charge de travail. Cela accepte de fournir au pod un identifiant et une approbation détaillés pour atteindre les API de Google Cloud.
Dans un cluster Kubernetes, toute procédure dans un conteneur à l'intérieur d'un pod peut atteindre le cluster en validant à partir d'un serveur d'API à l'aide d'un compte de service. Le compte de service offre l'ID de la procédure exécutée dans le pod et distingue les comptes de service par l'espace de noms conférant aux limites de gestion du cluster. Cela nous permet de limiter qui pourrait être en mesure de travailler avec des comptes de services spécifiques. Cela s'avère être apprécié à mesure que l'association se développe. N'oubliez pas d'utiliser la prédiction du volume pour les indications de compte de service. Cela raccourcit la durée de vie du compte de service et modère l'influence de la fuite des informations d'identification.
Dans cet article, discutons de la façon dont Kubectl obtient des comptes de service.
Conditions préalables:
Tout d'abord, nous devons vérifier notre système d'exploitation. Nous devons utiliser l'ubuntu 20.04 Système d'exploitation dans cette situation. D'un autre côté, nous voyons également des distributions Linux, selon nos demandes. En outre, assurez-vous que le cluster Minikube est un constituant important pour gérer les services de Kubernetes. Pour implémenter en douceur les instances, nous avons un cluster minikube installé sur l'ordinateur portable.
Maintenant, nous élaborons le processus d'obtention des comptes de services Kubectl.
Commencez Minikube:
Pour démarrer le groupe Minikube, nous devons ouvrir un terminal sur Ubuntu 20.04. Nous pouvons ouvrir le terminal par ces deux méthodes:
Nous pouvons ouvrir efficacement le terminal en sélectionnant l'une de ces techniques. Maintenant, nous devons lancer le minikube. Pour ce faire, nous exécutons la commande suivante:
Il n'est pas nécessaire de quitter le terminal jusqu'à ce que Minikube commence. Nous pouvons également mettre à niveau le cluster Minikube.
Obtenez les comptes de service:
Lorsque des pods sont formés dans un cluster Kubernetes à l'aide d'un espace de noms spécifique, par défaut, ces pods construisent un compte de service appelé par défaut. Ce compte construit inévitablement un jeton de service via l'objet secret défini. Par conséquent, les applications peuvent utiliser ce compte de service fourni par le POD pour atteindre les serveurs API dans un espace de noms identique.
Nous pouvons répertorier toutes les ressources du compte de service dans l'espace de noms. Entrez la commande suivante:
Ceci est la sortie que nous obtenons après l'exécution de la commande «Kubectl Get ServiceAccounts». Nous créons des éléments de service supplémentaires en exécutant la commande suivante:
Le titre d'un élément de service de service devrait être une étiquette de sous-domaine DNS efficace. Si nous acquérons un vidage détaillé de l'élément de compte de service, nous devons exécuter la commande suivante:
Nous remarquons que le jeton est inévitablement généré et spécifié par le compte de service. Nous pouvons utiliser le plugin de validation pour corriger les autorisations sur le compte de service. Pour utiliser un compte de service non standard, établissez le champ du pod au titre du compte de service que nous souhaitons utiliser. Le compte de service doit se produire lorsque le pod est généré. Nous ne mettons pas à niveau le compte de service du pod formé.
Supprimer le compte de service:
Maintenant, nous pouvons supprimer le compte de service comme suit:
Si le pod ne pouvait pas contenir une série de compte de service, le compte de service sera attribué à la valeur par défaut.
Conclusion:
Dans cet article, nous avons expliqué comment les comptes de service fonctionnent dans un cluster configuré en fonction des références des Kubernetes. L'administrateur de cluster peut ajuster le compartiment dans le cluster. Lorsque nous obtenons le cluster, il est validé par le serveur API via un compte utilisateur spécifique. À l'heure actuelle, ceci est généralement administratif si l'administrateur de cluster a modifié le cluster. Les procédures dans les conteneurs des pods peuvent être associées au serveur API. Une fois que nous nous assurerons, ils seront légitimes en tant que compte de service spécifique. Nous espérons que vous avez trouvé cet article utile. Consultez Linux Indise pour plus de conseils et d'informations sur Kubectl.