如果`auto ountServiceAccountToken`设置为false,则实例的服务帐户的用途是什么? [英] What's the purpose of a pod's service account, if `automountServiceAccountToken` is set to false?
本文介绍了如果`auto ountServiceAccountToken`设置为false,则实例的服务帐户的用途是什么?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
服务账号的API凭据通常挂载在实例中,挂载方式为:
/var/run/secrets/kubernetes.io/serviceaccount/token
此内标识允许Pod中的容器化进程与API服务器通信。
如果automountServiceAccountToken
设置为false,则Pod的服务帐户(serviceAccountName
)的用途是什么?
推荐答案
一点理论:
让我们从应该创建Pod时发生的情况开始。
创建Pod时,如果未指定服务帐户,则 已自动分配同一目录中的默认服务帐户 命名空间
因此所有Pod都链接到服务帐户(默认或在spec
中指定)。
则始终为每个服务帐户生成API访问令牌。
automountServiceAccountToken
标志定义此内标识在创建Pod后是否自动挂载到Pod。
有两个选项可以设置此标志:
在特定服务帐户
apiVersion: v1 kind: ServiceAccount metadata: name: build-robot automountServiceAccountToken: false ...
在特定Pod中
apiVersion: v1 kind: Pod metadata: name: my-pod spec: serviceAccountName: build-robot automountServiceAccountToken: false ...
答案:
Pod的服务帐户(ServiceAccountName)的用途是什么,如果 AutomountServiceAccountToken设置为False?可能会有所不同,具体取决于创建Pod所涉及的进程。comments in GitHub issue(此标志最终来自于此)中就是一个很好的示例:
仍有创建令牌(用于外部)的用例 系统)或仍将服务帐户与Pod关联(供使用 具有图像拉入密码),但是能够选择退出API令牌 自动装载(针对特定Pod或针对特定服务 帐户)非常有用。
这篇关于如果`auto ountServiceAccountToken`设置为false,则实例的服务帐户的用途是什么?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文