Cómo Kubectl obtiene cuentas de servicio?

Cómo Kubectl obtiene cuentas de servicio?

Kubernetes utiliza una cuenta de servicio para entregar la identificación del POD. Las vainas que se interrelacionan a través del servidor API son validadas por una cuenta de servicio específica. Por evasión, la aplicación se valida como la cuenta de servicio predeterminada en el espacio de nombres en el que la aplicación se ejecuta.

Kubernetes tiene dos categorías de cuentas:

  • La cuenta de usuario se utiliza para proporcionar a los humanos acceso al clúster de Kubernetes especificado. Para esto, cada usuario debe ser considerado legítimo por el servidor API. La cuenta de usuario puede ser un administrador o diseñador que exige obtener los recursos a nivel de clúster.
  • La cuenta de servicio se utiliza para validar los procedimientos a nivel de máquina para obtener los clústeres de Kubernetes. El servidor API es responsable de estas validaciones para los procedimientos que se ejecutan en el POD.

Cuentas de servicio de Kubernetes Permítanos asignemos a Pods una ID que podamos utilizar. A continuación, valida el POD al servidor API para que el POD pueda leer e interactuar con los objetos API. Luego, utilice la carga de trabajo. Esto acepta proporcionar al POD una identificación detallada y aprobación para lograr las API de Google Cloud.

En un clúster de Kubernetes, cualquier procedimiento en un contenedor dentro de una cápsula puede alcanzar el clúster validando desde un servidor API utilizando una cuenta de servicio. La cuenta de servicio ofrece la identificación del procedimiento que se ejecuta en el POD y distingue las cuentas de servicio mediante el espacio de nombres que confieren a los límites de gestión del clúster. Esto nos permite limitar quién podría trabajar con cuentas de servicio específicas. Esto resulta ser apreciado a medida que la asociación crece. Recuerde utilizar la predicción de volumen para las indicaciones de la cuenta de servicio. Esto acorta la vida credencial de la cuenta de servicio y modera la influencia de la fuga de credenciales.

En este artículo, discutamos cómo Kubectl obtiene cuentas de servicio.

Prerrequisitos:

Primero, tenemos que consultar nuestro sistema operativo. Tenemos que utilizar el Ubuntu 20.04 Sistema operativo en esta situación. Por otro lado, también vemos distribuciones de Linux, dependiendo de nuestras solicitudes. Además, asegúrese de que el clúster de minikube sea un componente importante para ejecutar servicios de Kubernetes. Para implementar las instancias sin problemas, tenemos un clúster de minikube instalado en la computadora portátil.

Ahora, elaboramos el proceso de obtener cuentas de servicio Kubectl.

Iniciar minikube:

Al comenzar el clúster de Minikube, necesitamos abrir una terminal en Ubuntu 20.04. Podemos abrir el terminal mediante estos dos métodos:

  • Busque "terminal" en la barra de búsqueda de la aplicación de Ubuntu 20.04
  • Use la combinación clave "Ctrl + Alt + T".

Podemos abrir eficientemente el terminal seleccionando una de estas técnicas. Ahora tenemos que lanzar el minikube. Para hacer esto, ejecutamos el siguiente comando:

No hay necesidad de salir de la terminal hasta que comience Minikube. También podemos actualizar el clúster de minikube.

Obtenga las cuentas de servicio:

Cuando las cápsulas se forman en un clúster de Kubernetes utilizando un espacio de nombres específico, de forma predeterminada, esos PODS construirán una cuenta de servicio denominada predeterminada. Esta cuenta inevitablemente construye un token de servicio a través del objeto secreto definido. Por lo tanto, las aplicaciones pueden usar esta cuenta de servicio proporcionada por el POD para lograr los servidores API en un espacio de nombres idéntico.

Podemos enumerar todos los recursos de la cuenta de servicio en el espacio de nombres. Ingrese el siguiente comando:

Esta es la salida que obtenemos después de ejecutar el comando "Kubectl Get ServiceAcCounts". Creamos elementos adicionales de ServiceAcCount ejecutando el siguiente comando:


El título de un artículo de servicio de servicio debe ser una etiqueta de subdominio DNS efectiva. Si adquirimos un volcado detallado del elemento de la cuenta de servicio, tenemos que ejecutar el siguiente comando:

Notamos que el token es inevitablemente generado y especificado por la cuenta de servicio. Podemos utilizar el complemento de validación para corregir las autorizaciones en la cuenta de servicio. Para utilizar una cuenta de servicio no estándar, establezca el campo del POD en el título de la cuenta de servicio que queremos utilizar. La cuenta de servicio debe ocurrir cuando se genera el POD. No actualizamos la cuenta de servicio del POD formado.

Eliminar la cuenta de servicio:

Ahora, podemos eliminar la cuenta de servicio de la siguiente manera:


Si el POD no pudo contener una serie de cuenta de servicio, la cuenta de servicio se asignará al valor predeterminado.

Conclusión:

En este artículo, hemos discutido cómo funcionan las cuentas de servicio en un clúster configurado de acuerdo con las referencias de los Kubernetes. El administrador del clúster puede ajustar el compartimento dentro del clúster. Cuando obtenemos el clúster, el servidor API validada a través de una cuenta de usuario específica. En la actualidad, esto es generalmente administrativo si el administrador del clúster modificó el clúster. Los procedimientos en los contenedores de los pods pueden estar asociados con el servidor API. Una vez que nos aseguramos de esto, serán legítimos como una cuenta de servicio específica. Esperamos que hayas encontrado este artículo útil. Consulte Linux Sugerencia para obtener más consejos e información sobre Kubectl.