大佬教程收集整理的这篇文章主要介绍了POD 中的 configMap 引用不需要 ServiceAccount 吗?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
好奇如何在没有适当 serviceAccount 和相关 RBAC 规则的情况下在 POD 中引用 configMaps?
示例 POD Yaml 挂载 configMap
- mountPath: /kubernetes-vault
name: kubernetes-vault
.................
.................
volumes:
- emptyDir: {}
name: vault-token
- configMap:
defaultMode: 420
name: kubernetes-vault
name: kubernetes-vault
但是 associated ServiceAccount and it's corresponding RBAC ( Role and RoleBinding ) 没有任何规则指定此 configMap (kubernetes-vault) 的访问规则
POD 的角色和规则
rules:
- APIGroups:
- '*'
resources:
- services
- pods
- endpoints
verbs:
- get
- List
- watch
几个问题
访问 configMap 是否需要适当的 ServiceAccount,并具有专门为 configMap 访问指定的访问规则?
当 ServiceAccount 正在执行该操作时,是的,但是 volumes: 是由 kube-apiserver、kube-controller 和与之交互的调用凭据的混合执行的apiserver。到 Pod 的卷挂载时,所有这些安全检查都已完成——您可以通过运行任何 Pod 并抑制其 ServiceAccount 来验证该行为,并观察卷挂载仍在发生
如果一个对象只应由有限的一组用户访问,则应在角色级别发生这种情况,以防止用户安排接触敏感项目的 Pod。
如果不是,哪些对象受 RBAC 规则的约束?
据我所知,一切都受 RBAC 规则的约束,即使它们不让您满意,系统也提供了 Validating Admission Controllers 允许 非常强>细粒度的访问规则
以上是大佬教程为你收集整理的POD 中的 configMap 引用不需要 ServiceAccount 吗?全部内容,希望文章能够帮你解决POD 中的 configMap 引用不需要 ServiceAccount 吗?所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。