一、什么是K8s服务账户ServiceAccount¶
ServiceAccount是Kubernetes中的一种资源,主要用于身份验证和授权,可以让应用或用户以特定的身份访问集群内部的其他资源和服务。
Kubernetes 1.24 版本对 Service Account(SA)的 Secret 创建行为确实做了重大调整。以下是版本差异的详细说明:
1.24 版本之前的行为
- 自动创建 Secret:在 Kubernetes 1.20 及更早版本中,每创建一个 Service Account,系统会自动生成一个关联的 Secret。该 Secret 包含一个永不过期的 token,并通过投射卷(Projected Volume)挂载到 Pod 的
/var/run/secrets/kubernetes.io/serviceaccount目录下,供 Pod 访问 Kubernetes API 时使用 - 1.21~1.23 版本的过渡:在 1.21 到 1.23 版本中,虽然仍会为 SA 自动生成 Secret,但 Pod 不再直接使用 Secret 中的 token,而是由 kubelet 通过
TokenRequestAPI 动态申请一个有效期为 1 小时的临时 token。此 token 会被自动刷新,旧 token 会在过期后失效
1.24 版本之后的变更
- 不再自动创建 Secret:从 1.24 版本开始,Kubernetes 彻底移除了为 SA 自动生成 Secret 的功能。所有 token 均需通过
TokenRequestAPI 动态生成,且默认有效期为 1 小时 - 动态 token 的特性:动态生成的 token 具有短期有效性,且在 Pod 删除后立即失效。这种设计增强了安全性,但可能导致需要长期 token 的场景(如跨集群操作)出现问题
二、K8s服务账户ServiceAccount应用场景¶
K8s服务账户ServiceAccount主要应用场景如下:
- 1)授权给应用程序指定的权限,让其可以访问集群中的资源
- 2)生成受限的kubeconfig,供不同的用户使用
- 3)生成临时或永久token,可以登录Kubernetes的Dashboard
三、K8s服务账户ServiceAccount资源定义¶
3.1 命令格式定义¶
使用 kubectl create 命令直接创建 ServiceAccount:
# 在default命名空间下进行创建
kubectl create serviceaccount sa-demo
3.2 yaml格式定义¶
# 编写yaml文件
vim sa.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: sa-demo # ServiceAccount 名称
namespace: default # 所属命名空间,默认可不写
# 应用yaml文件
kubectl apply -f sa.yaml